Depois de ter reinado por três meses consecutivos e caído para o segundo lugar em agosto, o cavalo de Troia bancário Trickbot voltou ao topo da lista do Índice Global de Ameaças referente ao mês de setembro de 2021 da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software.
O trojan pode roubar credenciais financeiras e de contas, bem como as informações de identificação pessoal, além de se espalhar em uma rede e lançar um ransomware — este malware é frequentemente usado nos estágios iniciais de ataques de ransomware. Desde a queda do Emotet em janeiro, o Trickbot ganhou popularidade. Ele é constantemente atualizado com novos recursos, mais capacidades e vetores de distribuição, o que permite que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
“No mesmo mês em que o Trickbot se tornou novamente o malware mais difundido, um dos membros da gangue do Trickbot foi preso como resultado de uma investigação nos Estados Unidos”, informa Maya Horowitz, vice-presidente de Pesquisa da Check Point Software. “Além de outras acusações que foram feitas este ano no combate contra este malware, acreditamos que o domínio do seu grupo será reduzido em breve. Mas, como sempre, ainda há um longo caminho a ser percorrido.”
No Brasil, os pesquisadores da Check Point Research verificaram um aumento de 62% nos ataques cibernéticos semanais em 2021, em comparação com 2020 (967 ciberataques por semana em média), enquanto observaram também um aumento de 8% em ataques por ransomware em 2021.
Com relação ainda ao Índice Global de Ameaças referente ao mês de setembro, a CPR apontou o ingresso do cavalo de Troia de acesso remoto, njRAT, no Top 10 da lista pela primeira vez, ocupando o lugar do malware Phorpiex, o qual não está mais ativo.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em setembro, o Trickbot foi o malware mais popular com um impacto global de 4% das organizações, seguido pelo Formbook e XMRig, sendo que cada um afetou 3% das organizações em todo o mundo.
↑ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↓ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de comando e controle (C&C).
↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Veja isso
Emotet, uma ameaça antiga mas persistente
Trickbot: como e por que esse malware ressurgiu
Principais vulnerabilidades exploradas
Em setembro, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 44% das organizações globalmente, seguida pela “Command Injection Over HTTP”, que impactou 43% das organizações no mundo todo. A vulnerabilidade “HTTP Headers Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 43%.
↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↑ Command Injection Over HTTP – Um atacante remoto pode explorar uma vulnerabilidade de injeção de comando HTTP enviando uma solicitação especialmente criada à vítima. Se for bem-sucedida, essa exploração permitiria que um atacante executasse um código arbitrário no computador de um usuário.
↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
Principais malwares móveis
Em setembro, o xHelper permaneceu em primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
• FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Os principais malwares de setembro no Brasil
O principal malware no Brasil em setembro de 2021 foi o Trickbot, o qual retornou à liderança da lista do País com 5,58% de impacto nas organizações. O XMRig ocupou o segundo lugar (4,64%) no ranking nacional, enquanto o Glupteba (4,49%) ficou em terceiro.