Hackers usam novo método para espalhar trojan de acesso remoto

Pesquisadores identificaram um novo método de implantação do trojan de acesso remoto (RAT) Remcos, contornando medidas de segurança comuns para obter acesso aos dispositivos das vítimas
Da Redação
15/04/2024

Hackers estavam utilizando arquivos de disco rígido virtual (VHD) para implantar o Remcos, um trojan de acesso remoto (RAT) que contorna medidas de segurança comuns para dar aos cibercriminosos acesso não autorizado aos dispositivos das vítimas. Segundo o Índice Global de Ameaças referente a março, da Check Point Research (CPR), o Remcos é um malware conhecido desde 2016 e, apesar de sua origem legal para gerenciar remotamente sistemas Windows, os cibercriminosos logo começaram a capitalizar a capacidade da ferramenta de infectar dispositivos, capturar telas, registrar pressionamentos de teclas e transmitir dados coletados para servidores host designados.

Além disso, de acordo com os pesquisadores da CP, o RAT possui uma função de envio de mala direta que pode realizar campanhas de distribuição e, em geral, suas diversas funções podem ser usadas para criar botnets. No mês passado, subiu para a quarta posição na lista global e nacional dos principais malwares, em relação ao sexto lugar ocupado em fevereiro.

Em relação ao índice de ransomware, a CPR destaca insights de administração realizada por grupos de ransomware de dupla extorsão que publicaram informações das vítimas. O Lockbit3 mais uma vez lidera o ranking com 12% dos ataques publicados, seguido pelo Play com 10% e Black Basta com 9%. Ao ingressar pela primeira vez entre os três primeiros da lista de ransomware, o Black Basta assumiu a responsabilidade por um recente ataque cibernético ao Scullion Law, um escritório de advocacia escocês.

Quanto às vulnerabilidades, no mês passado, a mais explorada foi a “Web Servers Malicious URL Directory Traversal”, afetando 50% das organizações a nível mundial, seguida de “Command Injection Over HTTP” com 48% de impacto e “HTTP Headers Remote Code Execution” com 43% de impacto.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

O FakeUpdates foi o malware mais prevalente em março de 2024 — manteve a liderança desde fevereiro —, com um impacto de 6% nas organizações mundiais, seguido do Qbot com um impacto global de 3% e do Formbook, com um impacto global de 2%.

O Qbot preserva sua liderança do ranking no Brasil em março com impacto nacional de cerca de 8%, quase três vezes mais que o impacto global.

Top 3 global

↔ FakeUpdates – Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. A partir de 2022, emergiu como um dos trojans mais prevalentes.

↔ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como malware-as-a-service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu servidor de comando e controle (C&C).

Principais vulnerabilidades exploradas

Em março, a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 50% das organizações a nível mundial, seguida pela “Command Injection Over HTTP” com 48% e da “HTTP Headers Remote Code Execution” com 43%.

↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Há uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um invasor remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que um invasor executasse um código arbitrário no computador de destino.

↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.

Principais malwares móveis

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Cerberus.

↔ Anubis – O Anubis é um malware de trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de trojan de acesso remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

↔ AhMyth – AhMyth é um RAT descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.

↑ Cerberus – Visto pela primeira vez em junho de 2019, o Cerberus é um RAT com funções específicas de sobreposição de tela bancária para dispositivos Android. A Cerberus opera em um modelo MaaS, substituindo Anubis e Exobot. Seus recursos incluem controle de SMS, registro de teclas, gravação de áudio, rastreador de localização, entre outros.

Veja isso
Índice de risco cibernético tem ligeira melhora pela primeira vez
Trickbot assume liderança em índice global de ameaças

Em março, a educação/pesquisa se manteve como o setor mais atacado em nível mundial, seguido pelo governo/forças armadas e comunicações. Já no Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de março foram comunicações, saúde e transportes.

Principais grupos de ransomware

Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.

Os dados desses “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.

O LockBit3 foi o grupo de ransomware mais prevalente no mês passado, responsável por 12% dos ataques publicados, seguido pelo Play com 10% e Black Basta com 9%.

1.LockBit3 – LockBit3 é um ransomware que opera em um modelo de ransomware como serviço (RaaS) e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2.Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.

3.Black Basta – O ransomware Black Basta foi observado pela primeira vez em 2022 e opera como RaaS. Os operadores de ameaças por trás dele têm como alvo principalmente organizações e indivíduos, explorando vulnerabilidades de RDP (Remote Desktop Protocol) e e-mails de phishing para entregar o ransomware.

Principais malwares de março no Brasil

No mês passado, o ranking de ameaças do Brasil contou com o Qbot não largando a liderança do ranking (já indicada desde janeiro deste ano) com impacto de 7,93%; em segundo lugar, o cavalo de Troia AsyncRat cujo impacto foi de 3,29%; enquanto o NJRat também manteve seu terceiro lugar (como em fevereiro) com impacto de 3,23%.

Fonte: Check Point Software

Compartilhar:

Últimas Notícias