A Check Point Research, divisão de Inteligência de ameaças da Check Point® Software Technologies, publicou seu mais recente Índice Global de Ameaças referente ao mês de abril de 2019. O índice revela que o trojan bancário Trickbot retornou ao ranking do índice entre os dez primeiros malwares, pela primeira vez em quase dois anos.
Os trojans bancários de múltiplos alvos, como o Trickbot, têm sido uma escolha popular entre cibercriminosos que buscam ganhos financeiros.As atividades com o Trickbot aumentaram drasticamente em abril, com várias campanhas de spam com o tema American Day Tax (dia dos impostos), programadas para coincidir com o último dia do prazo para a entrega das declarações de imposto de renda individuais nos Estados Unidos.As campanhas de spam espalharam anexos de arquivos do Excel que ativaram o download do Trickbot para os computadores das vítimas a fim de se espalharem pelas redes, coletarem detalhes de informações bancárias e, possivelmente, roubarem documentos fiscais para uso fraudulento.
Enquanto as três variantes de malware mais comuns de abril foram os criptomineradores, os sete restantes dos Top 10 foram os trojans bancários de múltiplos alvos.Isso destaca a mudança de tática adotada pelos cibercriminosos para maximizar o retorno financeiro das campanhas, após o fechamento de vários serviços populares de criptografia e o declínio nos valores de criptomoeda no último ano.
De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e de Pesquisa da Check Point, “em abril, tanto o Trickbot quanto o Emotet chegaram à lista dos dez principais malwares”. “Isto é especialmente preocupante, dado o fato de que ambos os botnets são usados,atualmente, não apenas para roubar dados e credenciais privados, mas também para espalhar o ransomware Ryuk.” Ela complementa ao explicar que o Ryuk é conhecido por ter como alvo os ativos como bancos de dados e servidores de backup, exigindo um resgate de mais de um milhão de dólares. “Como esses malwares se transformam constantemente, é crucial ter uma linha robusta de defesa contra eles, com uma prevenção avançada contra ameaças”, finaliza Maya.
Os três principais programas maliciosos “mais procurados” em abril de 2019 foram:
* As setas estão relacionadas com a mudança na classificação em comparação com o mês anterior.
- ↑Cryptoloot – Criptominerador que usa o poder de CPU ou GPU (processador gráfico) da vítima e os recursos existentes para a criptomineração, adicionando transações ao blockchain e liberando nova moeda. Originalmente é um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.
- ↑ XMRig– Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.
- ↑ Jsecoin – Minerador deJavaScript que pode ser incorporado em sites. Com o JSEcoin, é possível executar o minerador diretamente no navegador em troca de uma experiência sem anúncios, moeda do jogo e outros incentivos.
Em abril, o Triada foi o malware móvel mais predominante, substituindo o Hiddad em primeiro lugar na lista Top 10 de malware. O Lootor permaneceu em segundo lugar, e o Hiddad caiu para terceiro.
Os três principais malwares para dispositivos móveis de abril:
1. Triada – Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. O Triada também foi visto falsificando URLs carregados no navegador.
2. Lotoor– Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.
3. Hiddad- Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.
Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O OpenSSL TLS DTLS HeartbeatInformationDisclosure é a vulnerabilidade mais popular explorada com um impacto global de 44% das organizações em todo o mundo. Pela primeira vez após 12 meses, o CVE-2017-7269 caiu do primeiro para o segundo lugar, impactando 40% das organizações, seguido pelo CVE-2017-5638 com um impacto global de 38%.
As três vulnerabilidades mais exploradas de abril:
- ↑ OpenSSL TLS DTLS HeartbeatInformationDisclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
- ↓ Microsoft IIS WebDAVScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
- ↑ Apache Struts2 Content-Type Remote CodeExecution (CVE-2017-5638) – Existe uma vulnerabilidade de execução remota de código no Apache Struts2 usando o analisador multipartes Jakarta. Um atacante pode explorar esta vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitação de upload de arquivo. A exploração bem-sucedida pode resultar na execução de código arbitrário no sistema afetado.
O Mapa de Ameaças por país exibe o índice de risco globalmente (verde – baixo risco, vermelho – alto risco, cinza – dados insuficientes), demonstrando as principais áreas de risco e pontos críticos de malware em todo o mundo. Em abril, o Brasil está na posição 86ª no ranking com 53,0% de risco, num total de 149 países na lista.
A seguir, a lista dos Top 10 malwares no Brasil no mês de abril:
TOP 10 Malwares Brasil – Abril 2019 |
||
Nome da Família do Malware | Impacto Global | Impacto no Brasil |
Cryptoloot | 5.49% | 20.99% |
Jsecoin | 3.93% | 16.55% |
XMRig | 4.08% | 13.27% |
Houdini | 0.36% | 9.91% |
Dorkbot | 3.31% | 8.82% |
Sality | 1.87% | 6.49% |
Fireball | 1.36% | 6.27% |
Emotet | 3.62% | 4.23% |
AgentTesla | 2.21% | 4.23% |
Ramnit | 2.27% | 3.94% |
* A lista completa das Top 10 principais famílias de malware em abril pode ser encontrada no Blog da Check Point:http://blog.checkpoint.com/2019/05/13/april-2019s-most-wanted-malware-cybercriminals-up-to-old-trickbots-again/