A botnet (rede de robôs) Phorpiex retornou ao ranking mensal distribuindo o ransomware Avaddon, uma nova variante de ransomware como serviço (RaaS) que surgiu no início de junho, por meio de campanhas de spam. Por isso, o Phorpiex subiu 13 posições ocupando o 2º lugar no Índice Global de Ameaças referente ao mês de junho da Check Point Research (CPR), braço de inteligência em ameaças da Check Point Software.
Conforme relatado anteriormente pelos pesquisadores da Check Point, o Phorpiex é conhecido por disseminar campanhas de malspam (malware spam) de sextortion (extorsão a partir da ameaça de exposição de fotos ou vídeos sexuais das vítimas na internet) em larga escala, além de distribuir outras famílias de malware.
As mensagens de spam mais recentes distribuídas via Phorpiex tentam convencer os destinatários a abrir um anexo de arquivo Zip usando um emoji “piscando o olho” no assunto do e-mail. Se o usuário clicar no arquivo, o ransomware Avaddon será ativado, embaralhando os dados no computador e exigindo um resgate em troca da descriptografia do arquivo.
Em sua pesquisa sobre malware de 2019, a Check Point encontrou mais de 1 milhão de computadores Windows infectados com o Phorpiex. Os pesquisadores estimaram a receita anual gerada pela botnet é de aproximadamente US$ 500 mil.
Enquanto isso, o trojan de acesso remoto e ladrão de informações Agent Tesla continuou a ter um impacto significativo ao longo de junho, passando da 2ª posição em maio para o 1º lugar, enquanto o criptominerador XMRig permanece em 3º lugar pelo segundo mês consecutivo na lista global.
“No passado, o Phorpiex, também conhecido como Trik, era monetizado com a distribuição de outros malwares como GandCrab, Pony ou Pushdo, usando seus hosts para minerar criptomoedas ou para golpes de sextortion. Agora, este malware está sendo usado para disseminar uma nova campanha de ransomware”, informa Maya Horowitz, diretora de Inteligência e Pesquisa de Ameaças e Produtos da Check Point.
Veja isso
Botnet de sextortion atinge 30 mil e-mails por hora
Nova botnet explora vulnerabilidades do Windows SMB
A equipe de pesquisa da CPR também alerta que o “OpenSSL TLS DTLS Heartbeat Information Disclosure” foi a vulnerabilidade mais comum, afetando 45% das organizações em todo o mundo, seguida de perto pela ” MVPower DVR Remote Code Execution”, que afetou 44% das organizações globais. Quanto à “Web Server Exposed Git Repository Information Disclosure”, esta permaneceu em terceiro lugar, com um impacto global de 38%.
As principais famílias de malware
* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.
Em junho, o Agent Tesla foi o malware líder da lista mensal, com um impacto global de 3% das organizações, seguido de perto por Phorpiex e XMRig, afetando 2% das organizações cada um.
• ↑ Agent Tesla – É um RAT (remote access trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
• ↑ Phorpiex – O Phorpiex é uma botnet conhecida por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão em larga escala.
• ↔ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais vulnerabilidades exploradas em junho:
Em junho, a “OpenSSL TLS DTLS Heartbeat Information Disclosure” foi a vulnerabilidade mais comum, afetando 45% das organizações em todo o mundo, seguida de perto pela ” MVPower DVR Remote Code Execution”, que afetou 44% das organizações em todo o mundo. A “Web Server Exposed Git Repository Information Disclosure” permaneceu em terceiro lugar com um impacto global de 38%.
• ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
• ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
• ↔ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações foi relatada no Git Repository. A exploração bem-sucedida dessa vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
Principais famílias de malware – Dispositivos móveis
Em junho, o Necro foi o malware que se destacou em primeiro lugar, seguido por Hiddad e Lotoor.
• Necro – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
• Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
• Lotoor – O Lotoor é uma ferramenta de hackers que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
Os principais malwares de junho no Brasil
O principal malware no Brasil tem sido o criptominerador XMRig que continua liderando a lista Top 10 do Brasil: impactou 18,26% em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho.
Além do XMRig, a lista dos principais malwares do Brasil inclui dois Trojans bancários (Dridex, Ramnit) e um botnet (Phorpiex). O Dridex impactou 1,68% em março; 2,45% em abril; manteve-se em 2º lugar em maio com 2,35% de impacto; e em junho com 2,51% de impacto.
Enquanto o tipo de exploração de vulnerabilidade mais comum no Brasil é a Remote Code Execution (execução remota de código), impactando 71% das empresas no país.
