Pelo terceiro mês esse Trojan lidera a frequência de ataques no mundo, segundo as estatísticas reunidas pela Check Point Research
O Emotet, um trojan bancário usado também como disseminador de outros malwares e campanhas, foi o líder do mês de dezembro no relatório mensal de ameaças da Check Point Research, braço de Inteligência da Check Point Software. O Emotet foi a principal ameaça pelo terceiro mês consecutivo, sendo espalhado em campanhas de spam com temas tipo “Apoie Greta Thunberg – Personalidade do ano de 2019” e “Festa de Natal”. Nas duas campanhas, as mensagens contêm um documento malicioso contaminado do Microsoft Word, que ao ser aberto tenta baixar o Emotet no computador.
Em dezembro, houve também um aumento significativo nas tentativas de explorar a vulnerabilidade “Injeção de comando por HTTP”, com 33% das organizações sendo alvejadas. Essa vulnerabilidade passou de 5ª mais buscada em novembro para primeira posição em dezembro. Se explorada com sucesso, a carga útil era a instalação de um bot para uso em DDoS. O arquivo malicioso usado no ataque também continha vários links para downloads que exploram vulnerabilidades em vários dispositivos IoT de fabricantes como D-Link, Huawei e RealTek, para colocá-los a serviço de botnets.
Malware se tornou polivalente
“Nos últimos três meses, as ameaças que mais atacaram as organizações foram malwares versáteis e polivalentes, como o Emotet e o xHelper. Isso oferece aos cibercriminosos várias opções para monetizar ataques, já que eles podem ser usados para distribuir ransomware ou espalhar outras campanhas de spam”, diz Maya Horowitz, diretora de inteligência e pesquisa de ameaças de produtos da Check Point. “O objetivo dos criminosos é se posicionar no maior número possível de organizações e dispositivos, para que ataques subsequentes possam ser mais prejudiciais e ao mesmo tempo lucrativos. Portanto, é fundamental que as organizações informem aos seus funcionários sobre os riscos de abrir anexos de e-mail, baixar recursos ou clicar em links de uma fonte desconhecida”.
Os malwares mais frequentes no Brasil e no mundo
| Malware | Distribuição Global | Distribuição no Brasil |
| XMRig | 7.44% | 9.54% |
| Emotet | 12.60% | 9.35% |
| RigEK | 2.82% | 8.37% |
| Formbook | 2,11% | 8.18% |
| Trickbot | 6.98% | 6.23% |
| Bondat | 0.77% | 4.28% |
| AgentTesla | 6.05% | 3.60% |
| Nanocore | 2.05% | 3.60% |
| NJRat | 0.91 | 3.21% |
| Lokibot | 3.74 | 2.82% |
Os três malwares mais frequentes em dezembro de 2019
- Emotet – É um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
- XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
- Trickbot – É um Trojan bancário dominante, sendo constantemente atualizado com novos recursos, recursos e vetores de distribuição. Isso permite que o Trickbot seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas com vários propósitos.
Os três malwares para celular mais frequentes em dezembro:
- xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder dos programas antivírus móveis e do usuário e se reinstala se o usuário o desinstalar.
- Guerrilla – Um Trojan Android encontrado incorporado em vários aplicativos legítimos, capaz de baixar cargas maliciosas adicionais. O Guerrilla gera receita de publicidade fraudulenta para os desenvolvedores de aplicativos.
- Hiddad – Malware para Android que reembala aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode acessar os principais detalhes de segurança incorporados ao sistema operacional.
Vulnerabilidades “Mais exploradas” em dezembro:
- Injeção de comando por HTTP – Uma vulnerabilidade de Injeção de comando por HTTP pode ser explorada por um invasor remoto enviando uma solicitação especialmente criada à vítima. A exploração bem-sucedida permitiria ao atacante executar código arbitrário na máquina de destino.
- Execução remota de código do MVPower DVR – Existe uma vulnerabilidade de execução remota de código nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
- Divulgação exposta de informações do repositório Git do servidor Web – Uma vulnerabilidade de divulgação de informações foi relatada no Git Repository. A exploração bem-sucedida dessa vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
