Qbot predomina como principal malware em abril no Brasil

Da Redação
12/05/2023

O Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, predominou como principal malware em abril no Brasil, de acordo com Índice Global de Ameaças da Check Point Research (CPR), divisão de Inteligência de ameaças da Check Point Software. 

No mês passado, os pesquisadores de segurança da CPR descobriram uma campanha substancial Qbot, distribuída por meio de arquivos PDF maliciosos anexados a e-mails e em vários idiomas. Enquanto isso, o malware da internet das coisas (IoT) Mirai entrou no índice mensal pela primeira vez em um ano, depois de explorar uma nova vulnerabilidade nos roteadores TP-Link. 

No ranking do Brasil, o Mirai aparece em oitavo lugar com 3,87% de impacto — o impacto global é de 2,45%. O malware rastreia dispositivos IoT vulneráveis, como câmeras da web, modems e roteadores, e os transforma em bots. A botnet é usada pelos operadores do Mirai para realizar ataques distribuídos de negação de serviço (DDoS). O Mirai surgiu pela primeira vez em setembro de 2016 e rapidamente se destacou devido a alguns ataques em larga escala, incluindo um ataque DDoS massivo usado para deixar todo o país da Libéria offline. Ele também foi responsável por um outro ataque DDoS contra a empresa de infraestrutura de Internet Dyn, que fornece uma parcela significativa da infraestrutura de Internet dos Estados Unidos.

Com relação ao Qbot, os brasileiros não podem baixar a guarda. Ele aparece na liderança da lista nacional há cinco meses consecutivos e mantém o alto impacto nas organizações no Brasil com índices de 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro e 16,58% em dezembro de 2022. São todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos globais.

A campanha do Qbot, vista em abril, envolveu um novo método de entrega no qual os alvos recebem um e-mail com um anexo que contém arquivos PDF protegidos. Após o download, o malware Qbot é instalado no dispositivo. Os pesquisadores da CPR encontraram instâncias do malspam sendo enviadas em idiomas diferentes, o que significa que as organizações podem ser segmentadas em todo o mundo.

Quanto ao retorno do Mirai, em abril, um dos malwares de IoT mais populares, os pesquisadores descobriram que ele estava explorando uma nova vulnerabilidade de dia zero CVE-2023-1380 para atacar roteadores TP-Link e adicioná-los à sua botnet, que foi usada para facilitar alguns dos ataques DDoS mais difíceis já registrados. Essa última campanha segue um extenso relatório publicado pela CPR sobre a predominância de ataques IoT.

Também houve mudança nos setores mais impactados, com saúde ultrapassando o de governo como o segundo setor mais explorado em abril no mundo — no Brasil ficou em quarto lugar na lista. Ataques a instituições de saúde foram bem documentados e alguns países continuam enfrentando ataques constantes. Por exemplo, o grupo cibercriminoso Medusa lançou recentemente ataques contra instituições de combate ao câncer na Autrália.

O setor de saúde continua sendo um alvo lucrativo para os hackers, pois lhes dá acesso potencial a dados confidenciais de pacientes e informações de pagamento. Isso pode ter implicações para as empresas farmacêuticas, pois pode levar a vazamentos sobre ensaios clínicos ou novos medicamentos e dispositivos médicos.

“Os cibercriminosos estão constantemente trabalhando em novos métodos para contornar as restrições e essas campanhas são mais uma prova de como o malware se adapta para sobreviver. Com o Qbot na ofensiva novamente, ele atua como outro lembrete da importância de ter segurança cibernética abrangente e devida diligência quando se trata de confiar nas origens e na intenção de um e-mail”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

A equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada em abril, impactando 48% das organizações em todo o mundo, seguida pela “Apache Log4j Remote Code Execution”, com um impacto de 44%; enquanto a “HTTP Headers Remote Code Execution” foi a terceira vulnerabilidade mais usada, com um impacto global de 43%. 

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em abril, o Agent Tesla foi o malware mais difundidos no mês com um impacto de mais de 10% das organizações em todo o mundo, seguido pelo Qbot e Formbook, ambos com 4% de impacto global.

↑ Agent Tesla – Agent Tesla é um trojan de acesso remoto (RAT) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima, incluindo Google Chrome, Mozilla Firefox e o e-mail Microsoft Outlook.

↓ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.

 Formbook – É um infostealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como malware-as-a-service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu servidor de comando e controle (C&C).

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em abril, educação/pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido desta vez por saúde, enquanto governo/militar ficou em terceiro. A mudança foi o setor saúde ter subido para a segunda posição.No Brasil, os quatro setores no ranking nacional mais visados em abril passado foram, pela ordem, comunicações, utilities, governo/militar e saúde.

Principais vulnerabilidades exploradas

Em abril, a equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, impactando 48% das organizações no mundo, seguida pela “Apache Log4j Remote Code Execution”, ocupando o segundo lugar com impacto global de 44% das organizações. A “HTTP Headers Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 43%.

↑Web Servers Malicious URL Directory Traversal – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não limpa adequadamente o URI (Uniform Resource Identifier, ou identificador uniforme de recursos) para os padrões de travessia de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

↓Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado.

↓HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.

Veja isso
Campanha do Qbot usa malware para sequestrar e-mail comercial
Nova campanha do Emotet contorna bloqueios da Microsoft

Principais malwares móveis

Em abril, o AhMyth subiu para o primeiro lugar como o malware móvel mais difundido, seguido por Anubis e Hiddad.

1.AhMyth é um trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.

2.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade trojan de acesso remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

3.Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

Os principais malwares de abril no BrasilEm abril, o ranking de ameaças do Brasil teve como principal malware o Qbot, pelo quinto mês consecutivo na liderança, com impacto de 19,10%, um índice que foi mais que o dobro do impacto global (7,48%). O Emotet apareceu em segundo lugar com impacto de 8,39%, enquanto o Remcos permaneceu em terceiro lugar com impacto de 5,87%.

Fonte: Check Point Software

Compartilhar:

Últimas Notícias