O Formbook — um infostealer — é agora o malware mais predominante no ranking mensal mundial, assumindo o lugar de liderança do Trickbot, o qual caiu para o segundo lugar após ter liderado o índice por três meses consecutivos, de acordo com o Índice Global de Ameaças da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.
No mundo, 4,5% das organizações foram impactadas pelo Formbook, enquanto no Brasil, 5,25% delas sofreram seu impacto durante o mês de agosto. Visto pela primeira vez em 2016, o Formbook é um infostealer que rouba credenciais de vários navegadores da web, captura imagens, monitora e registra digitação de teclas e pode baixar e executar arquivos de acordo com as ordens de comando e controle (C&C).
Recentemente, o Formbook foi distribuído por meio de campanhas maliciosas com o tema covid-19 e em e-mails de phishing. Em julho, a CPR relatou que uma nova família de malware derivada de Formbook, chamada XLoader, agora passava a ter como alvo também os usuários do macOS.
“O código do Formbook é escrito em linguagem C com inserções de montagem e contém uma série de truques para torná-lo mais evasivo e difícil para os pesquisadores o analisarem”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software Technologies. “Como geralmente é distribuído por meio de e-mails e anexos de phishing, a melhor maneira de evitar uma infecção do Formbook é estar atento a quaisquer e-mails que pareçam estranhos ou venham de remetentes desconhecidos.”
Quanto ao cavalo de Troia bancário Qbot, cujos operadores são conhecidos por fazerem pausas durante o meio do ano, este desceu no ranking completamente, saindo do Top 10 após uma longa permanência; ao passo que o Remcos, um cavalo de Troia de acesso remoto (RAT), entrou no índice pela primeira vez em 2021, ocupando o sexto lugar.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em agosto, o Formbook foi o malware mais popular com um impacto global de 4,5% das organizações, seguido por Trickbot e Agent Tesla, sendo que cada um afetou 4% e 3% das organizações em todo o mundo respectivamente.
• ↑ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de comando e controle (C&C).
• ↓ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Veja isso
Trickbot lidera ranking pelo segundo mês seguido
XMRig liderou ameaças no Brasil em fevereiro explorando CPUs
• ↑ Agent Tesla – É um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
Principais vulnerabilidades exploradas
Em agosto, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 45% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution”, que impactou 43% das organizações no mundo todo. A vulnerabilidade “Dasan GPON Router Authentication Bypass” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 40%.
↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
↑Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação by-pass que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.
Principais malwares móveis
Em agosto, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
• FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Principais malwares de agosto no Brasil
O principal malware no Brasil em agosto de 2021 foi o XMRig, o qual retornou à liderança da lista do país com 5,32% de impacto nas organizações. Visto pela primeira vez em maio de 2017, o XMRig é um software de criptomineração de CPU de código aberto usado para minerar a criptomoeda Monero. Com uma pequena diferença em relação ao XMRig, o Formbook aparece em segundo lugar no Brasil, com 5,25% das organizações impactadas por este infostealer. Já o Trickbot figura no terceiro lugar com 4,58% das organizações sendo afetadas por ele.