keyboard-5017973_1280.jpg

Malware Formbook afeta mais de 5% das empresas no Brasil

Capaz de registrar digitação de teclado, malware que rouba informações foi o mais predominante em agosto no mundo e ficou em segundo lugar no Brasil
Da Redação
14/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O Formbook — um infostealer — é agora o malware mais predominante no ranking mensal mundial, assumindo o lugar de liderança do Trickbot, o qual caiu para o segundo lugar após ter liderado o índice por três meses consecutivos, de acordo com o Índice Global de Ameaças da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.

No mundo, 4,5% das organizações foram impactadas pelo Formbook, enquanto no Brasil, 5,25% delas sofreram seu impacto durante o mês de agosto. Visto pela primeira vez em 2016, o Formbook é um infostealer que rouba credenciais de vários navegadores da web, captura imagens, monitora e registra digitação de teclas e pode baixar e executar arquivos de acordo com as ordens de comando e controle (C&C). 

Recentemente, o Formbook foi distribuído por meio de campanhas maliciosas com o tema covid-19 e em e-mails de phishing. Em julho, a CPR relatou que uma nova família de malware derivada de Formbook, chamada XLoader, agora passava a ter como alvo também os usuários do macOS. 

“O código do Formbook é escrito em linguagem C com inserções de montagem e contém uma série de truques para torná-lo mais evasivo e difícil para os pesquisadores o analisarem”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software Technologies. “Como geralmente é distribuído por meio de e-mails e anexos de phishing, a melhor maneira de evitar uma infecção do Formbook é estar atento a quaisquer e-mails que pareçam estranhos ou venham de remetentes desconhecidos.” 

Quanto ao cavalo de Troia bancário Qbot, cujos operadores são conhecidos por fazerem pausas durante o meio do ano, este desceu no ranking completamente, saindo do Top 10 após uma longa permanência; ao passo que o Remcos, um cavalo de Troia de acesso remoto (RAT), entrou no índice pela primeira vez em 2021, ocupando o sexto lugar. 

Principais famílias de malware 

* As setas referem-se à mudança na classificação em comparação com o mês anterior. 

Em agosto, o Formbook foi o malware mais popular com um impacto global de 4,5% das organizações, seguido por Trickbot e Agent Tesla, sendo que cada um afetou 4% e 3% das organizações em todo o mundo respectivamente. 

•  Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de comando e controle (C&C). 

• ↓ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais. 

Veja isso
Trickbot lidera ranking pelo segundo mês seguido
XMRig liderou ameaças no Brasil em fevereiro explorando CPUs

•  Agent Tesla – É um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). 

Principais vulnerabilidades exploradas 

Em agosto, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 45% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution”, que impactou 43% das organizações no mundo todo. A vulnerabilidade “Dasan GPON Router Authentication Bypass” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 40%. 

 Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta. 

 HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima. 

Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação by-pass que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado. 

Principais malwares móveis 

Em agosto, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot. 

• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado. 

• AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo. 

• FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone. 

Principais malwares de agosto no Brasil 

O principal malware no Brasil em agosto de 2021 foi o XMRig, o qual retornou à liderança da lista do país com 5,32% de impacto nas organizações. Visto pela primeira vez em maio de 2017, o XMRig é um software de criptomineração de CPU de código aberto usado para minerar a criptomoeda Monero. Com uma pequena diferença em relação ao XMRig, o Formbook aparece em segundo lugar no Brasil, com 5,25% das organizações impactadas por este infostealer. Já o Trickbot figura no terceiro lugar com 4,58% das organizações sendo afetadas por ele. 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest