malicious-code-4036349_1280.jpg

Nova variante do Valak mira informações de e-mail do Microsoft Exchange

Pesquisadores detectaram aumento nos ataques do novo malware também para roubar credenciais de usuários e certificados de domínio
Da Redação
14/10/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Uma versão atualizada do malware Valak ingressou pela primeira vez na lista do Índice Global de Ameaças referente ao mês de setembro, da Check Point Research, braço de inteligência em ameaças da Check Point Software. Ele foi classificado como o 9º malware mais predominante no mês passado. O Emotet continua liderando o índice pelo terceiro mês consecutivo, e o cavalo de Troia Qbot, que entrou na lista pela primeira vez em agosto, também foi amplamente utilizado em setembro, subindo do 10º para o 6º lugar no índice global.

Observado pela primeira vez no final de 2019, o Valak é uma ameaça sofisticada que foi classificada anteriormente como um malware loader (programa de carregamento de malware). Nos últimos meses, novas variantes foram descobertas com mudanças funcionais significativas que permitem ao Valak efetuar o roubo de informações pessoais e corporativas. Esta nova versão do Valak é capaz de roubar dados confidenciais dos sistemas de e-mail do Microsoft Exchange, bem como credenciais de usuários e certificados de domínio. Durante o mês de setembro, o Valak se espalhou amplamente por campanhas de malspam contendo arquivos .doc maliciosos.

Em relação ao trojan Emotet, que permanece em 1º lugar na lista pelo terceiro mês consecutivo, seu impacto foi de 14% das organizações globalmente, enquanto no Brasil foi de 15,64%. O Emotet é um trojan avançado, autopropagável e modular. Era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. As operações do Emotet visam vender detalhes das vítimas infectadas para distribuidores de ransomware e, como já estão infectadas, elas ficam vulneráveis a mais ataques. Isso torna os ataques de ransomware ainda mais “eficazes” para o atacante, pois mais alvos infectados significam mais pontos de entrada para este tipo de ciberataque.

A equipe de pesquisa também alerta sobre “MVPower DVR Remote Code Execution” que foi a vulnerabilidade mais comum explorada em setembro, afetando 46% das organizações globalmente, seguida pela “Dasan GPON Router Authentication Bypass”, que afetou 42% das organizações em todo o mundo, e pela “Divulgação de informações do OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346)”, cujo impacto global foi de 36%.

As principais famílias* de malware de setembro

* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.

Em setembro, o Emotet continuou na liderança da lista mensal de malware com impacto global de 14% das organizações, seguido pelo Trickbot e Dridex, ambos afetando 4% e 3%, respectivamente, as organizações em todo o mundo.

 Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 ↑ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

↑ Dridex – É um trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.

Veja isso
Emotet lidera ataques no Brasil e no mundo
Trickbot é o malware mais prolífico durante pandemia da covid-19

Principais vulnerabilidades exploradas em setembro

Em setembro, a “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais comum explorada, afetando 46% das organizações globalmente, seguida pela “Dasan GPON Router Authentication Bypass”, que impactou 42% das organizações, e pela “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” com um impacto global de 36%.

↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.

↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

Principais famílias de malware para dispositivos móveis

Em setembro, o xHelper foi o malware móvel que se manteve em primeiro lugar, seguido pelo Xafecopy e pelo Hiddad.

1. Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

2. Xafekopy – É um Trojan disfarçado de aplicativos úteis, como o Battery Master. Este Trojan carrega um código malicioso disfarçado no dispositivo. Uma vez que o aplicativo é ativado, o malware Xafecopy clica em páginas da web com faturamento WAP (Wireless Application Protocol) – uma forma de pagamento móvel que cobra custos diretamente na conta de celular do usuário.

3. Hiddad – É um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

Os principais malwares de setembro no Brasil

O principal malware no Brasil em setembro, bem como em nível global, continuou sendo o Emotet, cujo impacto nas organizações no mundo foi de 13,76%, ao passo que no Brasil o índice foi de 15,64% das organizações impactadas.

Desde o início deste ano, o criptominerador XMRig vinha liderando a lista Top 10 do Brasil: impactou 18,26% das organizações em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho. O XMRig caiu uma posição em julho, impactando 4,15% das organizações; permaneceu no 20º lugar com 4,90% de impacto em agosto; e em 4º lugar em setembro. Outro dado relevante no Brasil é o de que, nos últimos seis meses, 92% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .doc foi o tipo predominantemente adotado (71,9%).

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest