banner senha segura
senhasegura
trojan-bancario.jpg

Cibercriminosos usam trojan IcedID em ataques que exploram o tema covid-19

Cavalo de Troia bancário tem explorado o tema da pandemia em campanhas de spam para atrair novas vítimas
Da Redação
15/04/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O cavalo de Troia bancário IcedID aparece pela primeira vez no Índice Global de Ameaças, referente ao mês de março, elaborado pela Check Point Research, braço de inteligência em ameaças, da Check Point Software. O trojan ocupa o segundo lugar na lista, enquanto o Dridex passou a liderar do ranking global. 

O IcedID não figura entre os malwares top no Brasil, enquanto o Dridex saltou do sétimo lugar em fevereiro para a primeira posição com um índice de 28,08%, acima do global (16,40%). A aparição anterior do Dridex havia sido em novembro de 2020, em décimo lugar da lista mensal brasileira de malware. 

Visto pela primeira vez em 2017, o IcedID se espalhou rapidamente em março por meio de várias campanhas de spam, afetando 11% das organizações em todo o mundo. Uma campanha amplamente difundida usou um tema da covid-19 para atrair novas vítimas a abrir anexos de e-mail maliciosos. A maioria desses anexos são documentos do Word com uma macro maliciosa usada para inserir um instalador para IcedID. Depois de instalado, o trojan tenta roubar detalhes da conta, credenciais de pagamento e outras informações confidenciais dos PCs dos usuários. O IcedID também usa outro malware para proliferar e tem sido usado como o estágio inicial de infecção em operações de ransomware. 

Já o Dridex, também um cavalo de Troia bancário, é direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. Ele entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto. 

“O IcedID já existe há alguns anos, mas recentemente foi amplamente adotado, mostrando que os cibercriminosos continuam a adaptar suas técnicas para explorar organizações, usando a pandemia da covid-19 como um disfarce”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research. 

“O IcedID é um cavalo de Troia particularmente evasivo que usa uma variedade de técnicas para roubar dados financeiros; então, as organizações devem garantir que têm sistemas de segurança robustos para evitar que suas redes sejam comprometidas e minimizar os riscos. O treinamento abrangente para todos os funcionários é crucial, para que eles estejam preparados com as habilidades necessárias para identificar os tipos de e-mails maliciosos que espalham o IcedID e outros malwares”, explica Maya. 

A Check Point Research também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum em março, afetando 45% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 44%.

Veja isso
Trickbot é o malware mais prolífico durante pandemia da covid-19 
Trojan ‘Janeleiro’ volta a atacar clientes de vários bancos no Brasil

Principais famílias de malware 

* As setas referem-se à mudança na classificação em comparação com o mês anterior. 

Em março, o Dridex foi classificado como o malware mais popular com um impacto global de 16% das organizações, seguido pelos malwares IcedID e Lokibot, os quais impactaram 11% e 9% das organizações em todo o mundo, respectivamente. 

 Dridex – Um cavalo de Troia bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. 

 IcedID – Um cavalo de Troia bancário distribuído por campanhas de spam por e-mail e que usa técnicas evasivas, como ataques de injeção na Web e esteganografia, para roubar dados financeiros do usuário. 

 Lokibot – Um malware para Windows e Android que rouba senhas e carteiras de criptomoedas, distribuído principalmente por e-mails de phishing. É usado para roubar vários dados, como credenciais de e-mail e senhas para carteiras CryptoCoin e servidores FTP. 

Principais vulnerabilidades exploradas 

Em março, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum, afetando 45% das organizações globalmente, seguida pela “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 44%. 

 HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima. 

 MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada. 

 Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado. 

Principais malwares móveis 

Em março, o Hiddad manteve-se em primeiro lugar no índice de malware móvel mais predominante, seguido por xHelper e FurBall, como em fevereiro. 

Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional. 

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado. 

FurBall – Um Android MRAT (trojan de acesso remoto móvel) que é implementa pelo APT-C-50, um grupo APT iraniano conectado ao governo do Irã. Este malware foi usado em várias campanhas desde 2017 e ainda se encontra ativo atualmente. Os recursos do FurBall incluem roubo de mensagens SMS, registros de chamadas, gravação surround, gravação de chamadas, coleta de arquivos de mídia, rastreamento de localização, entre outros. 

Os principais malwares de março no Brasil 

O principal malware no Brasil em março foi o Dridex na liderança da lista nacional com um índice de 28,08%, muito acima do global que foi de 16.40%. A lista de principais malwares no Brasil inclui este cavalo de Troia bancário, um cavalo de Troia (Qbot), um criptominerador (XMRig), um spyware (Agenttesla) e um malware do tipo Infostealer (Lokibot). 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório