banner senha segura
senhasegura
trojan-bancario.jpg

XMRig liderou ameaças no Brasil em fevereiro explorando CPUs

XMRig foi o mais detectado, vindo em segundo lugar o Lucifer, que minera Monero e pode fazer ataques, e a seguir o Trickbot
Da Redação
11/03/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O XMRig, malware que infecta dispositivos para minerar criptomoedas usando a energia e o poder de computação da vítima, foi o mais detectado no Brasil em fevereiro segundo as estatísticas publicadas hoje pela Check Point Software. Em segundo lugar vieram o Lucifer, que minera Monero e pode fazer ataques, e a seguir o Trickbot, um trojan bancário. No entanto, o relatório mostra que o Trickbot foi o líder mundial pela primeira vez, saindo da terceira posição que ocupava em janeiro.

Os pesquisadores contam que grupos cibercriminosos agora estão usando novas técnicas com malwares, adotando o Trickbot para atividades maliciosas. Durante o mês de fevereiro, o Trickbot estava sendo distribuído por meio de uma campanha de spam, com foco nos setores jurídico e de seguros. O Trickbot foi o quarto malware mais prevalente no mundo em 2020, afetando 8% das organizações. Ele desempenhou um papel fundamental em um dos ciberataques mais caros e de maior visibilidade de 2020, o da operadora de planos de saúde Universal Health Services (UHS), dos Estados Unidos. A UHS foi atingida pelo ransomware Ryuk, num incidente que lhe custou US$ 67 milhões em perda de receitas e aumento de despesas. O Trickbot foi usado pelos atacantes para detectar e colher dados dos sistemas do UHS e, em seguida, entregar a carga útil (payload) do ransomware.

Veja isso
Trojan Trickbot está de volta em nova campanha de spam malicioso
Hackers usam black hat SEO para enviar ransomware e trojans via Google

O relatório de fevereiro também informa que “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade explorada mais comum do mês, afetando 48% das organizações globalmente, seguida por “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 46% das organizações. A “MVPower DVR Remote Code Execution” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

↑ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

↑ Qbot – Qbot é um trojan bancário que apareceu pela primeira vez em 2008, desenvolvido para roubar as credenciais bancárias e keystrokes (pressionamento das teclas) pelos usuários. Frequentemente distribuído por e-mail de spam, o Qbot emprega várias técnicas anti-VM, anti-depuração e anti-sandbox para impedir a análise e evitar a detecção.

Principais vulnerabilidades exploradas

Em fevereiro, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade explorada mais comum, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 46% das organizações em todo o mundo. A “MVPower DVR Remote Code Execution” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 45%.

↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.

↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

Principais malwares móveis

Em fevereiro, o Hiddad ocupou o primeiro lugar como malware móvel mais prevalente, seguido por xHelper e FurBall.

Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

FurBall – Um Android MRAT (trojan de acesso remoto móvel) que é implementa pelo APT-C-50, um grupo APT iraniano conectado ao governo do Irã. Este malware foi usado em várias campanhas desde 2017 e ainda se encontra ativo atualmente. Os recursos do FurBall incluem roubo de mensagens SMS, registros de chamadas, gravação surround, gravação de chamadas, coleta de arquivos de mídia, rastreamento de localização, entre outros.

Os principais malwares de fevereiro no Brasil

O principal malware no Brasil em fevereiro de 2021 foi novamente o XMRig (como indicado em janeiro), cujo impacto nas organizações no mundo foi de 3,08%, ao passo que no Brasil o índice foi de 7,04% (em janeiro foi de 6,41%) das organizações brasileiras impactadas.

O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório