O cavalo de Troia Qbot, também conhecido como Qakbot e Pinkslipbot, ingressou pela primeira vez na lista dos dez principais malwares do Índice Global de Ameaças referente ao mês de agosto de 2020, da Check Point Research, braço de inteligência em ameaças da Check Point Software. O trojan aparece na 10º posição do ranking, cuja liderança permanece com o Emotet pelo segundo mês seguido, afetando 14% das organizações em nível global. No Brasil, o Emotet também se mantém no topo da lista com 16,60% de impacto nas organizações.
Visto pela primeira vez em 2008, o Qbot tem sido continuamente desenvolvido e, agora, usa técnicas sofisticadas de roubo de credenciais e instalação de ransomware, tornando-o uma espécie de canivete suíço de malware, de acordo com os pesquisadores. O Qbot também traz um novo recurso perigoso: o módulo coletor de e-mail especializado que extrai histórico de conversas (threads) de e-mail do Outlook da vítima e os carrega para um servidor remoto externo. Isso possibilita ao Qbot sequestrar as conversas de e-mail legítimos de usuários infectados e, em seguida, enviar spam usando esses e-mails sequestrados para aumentar suas chances de enganar outros usuários para que também sejam infectados.
O Qbot pode ainda permitir transações bancárias não autorizadas, possibilitando ao cibercriminoso o controle e a sua conexão ao computador da vítima.
Os pesquisadores descobriram várias campanhas utilizando a nova família do Qbot entre os meses de março e agosto, incluído campanhas distribuídas pelo trojan Emotet. Esta campanha impactou 5% das organizações em nível global em julho, segundo a Check Point Research.
“Verificamos campanhas ativas de malspam distribuídas diretamente pelo Qbot, bem como a utilização de infraestruturas de terceiros para infecção como a disseminação via Emotet. As empresas devem implementar soluções antimalware que impeçam a chegada desse tipo de conteúdo aos usuários finais e orientar os seus colaboradores a terem cuidado ao abrir os e-mails, mesmo quando parecerem ser de fontes confiáveis,” afirma Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point.
Veja isso
Trojan bancário Qbot agora sequestra ‘threads’ de e-mail do Outlook
Trojan bancário ZLoader ressurge em e-mails de phishing
A equipe de pesquisas também alerta sobre a “Web Server Exposed Git Repository Information Disclosure”, vulnerabilidade explorada mais comum que afetou 47% das organizações em todo o mundo, seguida pela “MVPower DVR Remote Code Execution” que afetou 43% e a “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” que está em terceiro lugar, com um impacto global de 37% das organizações.
Principais famílias de malware em agosto*
Em agosto, o Emotetmanteve-se na liderança da lista de malware com um impacto global de 14% das organizações, seguido de perto pelos malwares Agent Teslae o Formbook, afetando cada um 3% das organizações no mundo.
* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.
• ↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
• ↑ Agent Tesla – É um RAT (remote access trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
• ↑ Formbook – Formbook é um ladrão de informações que coleta credenciais de vários navegadores da web, capturas de tela, monitora e registra keystrokes (pressionar teclas), além de poder baixar e executar arquivos de acordo com as ordens de comando e controle (C&C).
Principais vulnerabilidades exploradas em agosto
Em agosto, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais comum, impactando 47% das organizações em nível global, seguida pela “MVPower DVR Remote Code Execution”, responsável por impactar 43% das organizações, e, em terceiro lugar, a “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” com um impacto global de 37%.
• ↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Git Repository. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
• ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
• ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
Principais famílias de malware – Dispositivos móveis
Em agosto, o xHelper foi o malware que se destacou em primeiro lugar, seguido pelo Necro e Hiddad.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• Necro – Necro é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
• Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Principais malwares em agosto no Brasil
O principal malware no Brasil em agosto, bem como em nível global, permanece sendo o Emotet cujo impacto nas organizações no mundo foi de 13,57%, ao passo que no Brasil o índice foi de 16,60% das organizações impactadas.
Desde o início deste ano, o criptominerador XMRig vinha liderando a lista Top 10 do Brasil: impactou 18,26% das organizações em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho. O XMRig caiu uma posição em julho, impactando 4,15% das organizações, e permaneceu no 20º lugar com 4,90% de impacto em agosto. Outro dado relevante no Brasil é o de que, nos últimos seis meses, 91% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .doc foi o tipo predominantemente adotado (82,9%).