Carregador de malware já afeta 9% das organizações no Brasil

Da Redação
14/12/2023

Uma nova campanha do trojan AsyncRAT foi rastreada por pesquisadores da Check Point Research (CPR) na qual arquivos HTML maliciosos foram usados para disseminar malware oculto. O AsyncRAT é um trojan de acesso remoto (RAT) conhecido por sua capacidade de monitorar e controlar remotamente sistemas de computador sem detecção. O malware utiliza vários formatos de arquivo, como PowerShell e BAT, para realizar a injeção de processos.

Na campanha do AsyncRAT durante o mês de novembro, os destinatários receberam um e-mail contendo um link incorporado. Uma vez clicado, o link acionava o download de um arquivo HTML malicioso, o que gerava uma sequência de eventos que significava que o malware poderia se camuflar como um aplicativo confiável para evitar sua detecção.

A descoberta é citada no Índice Global de Ameaças da CPR referente ao mês de novembro, que constatou também que o Fakeupdates, downloader/carregador de JavaScript, saltou direto para o segundo lugar no ranking global após uma pausa de dois meses na lista entre os dez primeiros malwares. O Fakeupdates é um dos carregadores de malware mais populares entre os cibercriminosos. 

Escrito em JavaScript, o Fakeupdates é uma estrutura de distribuição de malware que implanta sites comprometidos para induzir os usuários a executar atualizações falsas do navegador. Isso levou a novos comprometimentos por meio de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

No Brasil, o Fakeupdates assumiu a liderança do ranking local de Top Malware em novembro com um índice quase três vezes maior que o global, com 9,06% de impacto. O Fakeupdates — também conhecido por AKA SocGholish — é um downloader escrito em JavaScript que se comunica via HTTP. Os tipos de carga suportados incluem executáveis e JavaScript, ele grava as cargas no disco antes de iniciá-las e usando uma ampla rede de sites comprometidos que oferecem atualizações falsas.

“As ameaças cibernéticas de novembro demonstram como os atacantes utilizam métodos aparentemente ineficazes para se infiltrarem nas redes. A ascensão da campanha AsyncRAT e o ressurgimento do Fakeupdates destacam uma tendência em que os atacantes usam simplicidade enganosa para contornar as defesas tradicionais”, alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.

“Isto sublinha a necessidade de as organizações adotarem uma abordagem de segurança em camadas e que não se baseie apenas no reconhecimento de ameaças conhecidas, mas que também tenha a capacidade de identificar, prevenir e responder a novos vetores de ataque antes que estes causem danos.”

A equipe da CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade global mais explorada em novembro, impactando 45% das organizações em todo o mundo, seguida pela “Web Servers Malicious URL Directory Traversal” com iguais 42% e pela “Zyxel ZyWALL Command Injection (CVE-2023-28771)” em terceiro lugar com impacto global de 41% nas organizações.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em novembro, o Formbook foi o malware mais difundido no mês com um impacto de 3% das organizações em todo o mundo, seguido pelo FakeUpdates com impacto global de 2% e o Remcos também com 1%.

↔ Formbook – É um infostealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como malware-as-a-service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu servidor C&C (comando & controle).

↑ Fakeupdates – Fakeupdates — também conhecido como SocGholish — é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↔ Remcos – É um cavalo de Troia de acesso remoto (RAT) que apareceu pela primeira vez em 2016. Remcos se distribui por meio de documentos maliciosos do Microsoft Office, anexados a e-mails de SPAM, e foi projetado para contornar a segurança UAC do Microsoft Windows e executar malware com privilégios de alto nível.

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em novembro, educação/pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por comunicações e governo/Militar.

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de novembro foram: utilities (média de 1.993 ataques semanais por organização nos últimos seis meses – junho a novembro); governo/militar (média de 2.006 ataques semanais por organização nos últimos seis meses – junho a novembro); e comunicações (média de 1.983 ataques semanais por organização nos últimos seis meses – junho a novembro).

Principais vulnerabilidades exploradas

Em novembro, a equipe da CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 45% das organizações no mundo, seguida pela “Web Servers Malicious URL Directory Traversal”, ocupando o segundo lugar com impacto global de 42% das organizações. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 41%.

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.

 Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade se deve a um erro de validação de entrada em um servidor web que não limpa adequadamente o URI para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

 Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida desta vulnerabilidade permitiria que atacantes remotos executassem comandos arbitrários do sistema operacional no sistema afetado.

Principais malwares móveis

Em novembro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e SpinOk.

1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.

3.SpinOk é um módulo de software Android que funciona como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e pode transferi-los para agentes de ameaças mal-intencionados. O módulo malicioso foi encontrado presente em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.

Os principais malwares de novembro no Brasil

Em novembro, o ranking de ameaças do Brasil contou com o Fakeupdates na primeira posição com impacto de 9,06% (contra 2,49% de impacto global); em segundo lugar, o Chaes cujo impacto foi de 3,02%; enquanto o Nanocore permaneceu em terceiro lugar com impacto de 2,09%.

Fonte: Check Point Software

Compartilhar: