Cavalo de Troia bancário IcedID aparece na lista de principais malwares em março de 2021

Segundo Índice Global de Ameaças da Check Point, ameaça explorou o tema da pandemia para atrair novas vítimas; no Brasil, o IcedID não aparece e o Dridex lidera o ranking nacional de malwares

Compartilhar:

A Check Point divulgou o Índice Global de Ameaças referente ao mês de março de 2021. Os pesquisadores relataram que o cavalo de Troia bancário IcedID apareceu pela primeira vez na lista de malwares ocupando o segundo lugar, enquanto o Dridex foi o malware mais predominante, saltando do sétimo lugar em fevereiro para a liderança do ranking global em março.

 

Na lista de Top Malware do Brasil, o IcedID não aparece, enquanto o Dridex ressurgiu em primeiro lugar com um índice de 28,08%, acima do global (16,40%). A aparição anterior do Dridex havia sido em novembro de 2020, em décimo lugar da lista mensal brasileira de malware.

 

Visto pela primeira vez em 2017, o IcedID se espalhou rapidamente em março de 2021 por meio de várias campanhas de spam, afetando 11% das organizações em todo o mundo. Uma campanha amplamente difundida usou um tema da COVID-19 para atrair novas vítimas a abrir anexos de e-mail maliciosos. A maioria desses anexos são documentos do Microsoft Word com uma macro maliciosa usada para inserir um instalador para IcedID.

 

Depois de instalado, o trojan tenta roubar detalhes da conta, credenciais de pagamento e outras informações confidenciais dos PCs dos usuários. O IcedID também usa outro malware para proliferar e tem sido usado como o estágio inicial de infecção em operações de ransomware.

 

Quanto ao Dridex, também um cavalo de Troia bancário, este malware é direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.

 

“O IcedID é um cavalo de Troia particularmente evasivo que usa uma variedade de técnicas para roubar dados financeiros; então, as organizações devem garantir que têm sistemas de segurança robustos para evitar que suas redes sejam comprometidas e minimizar os riscos. O treinamento abrangente para todos os funcionários é crucial, para que eles estejam preparados com as habilidades necessárias para identificar os tipos de e-mails maliciosos que espalham o IcedID e outros malwares”, explica Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).

 

A Check Point Research também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum em março, afetando 45% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 44%.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em março, o Dridex foi classificado como o malware mais popular com um impacto global de 16% das organizações, seguido pelos malwares IcedID e Lokibot, os quais impactaram 11% e 9% das organizações em todo o mundo, respectivamente.

 

↑ Dridex – Um cavalo de Troia bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam.

 

↑ IcedID – Um cavalo de Troia bancário distribuído por campanhas de spam por e-mail e que usa técnicas evasivas, como ataques de injeção na Web e esteganografia, para roubar dados financeiros do usuário.

 

↑ Lokibot – Um malware para Windows e Android que rouba senhas e carteiras de criptomoedas, distribuído principalmente por e-mails de phishing. É usado para roubar vários dados, como credenciais de e-mail e senhas para carteiras CryptoCoin e servidores FTP.

 

Principais vulnerabilidades exploradas

 

Em março, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum, afetando 45% das organizações globalmente, seguida pela “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 44%.

 

↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

 

↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

 

↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.

 

Principais malwares móveis

 

Em março, o Hiddad manteve-se em primeiro lugar no índice de malware móvel mais predominante, seguido por xHelper e FurBall, como em fevereiro.

 

Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

 

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

FurBall – Um Android MRAT (trojan de acesso remoto móvel) que é implementa pelo APT-C-50, um grupo APT iraniano conectado ao governo do Irã. Este malware foi usado em várias campanhas desde 2017 e ainda se encontra ativo atualmente. Os recursos do FurBall incluem roubo de mensagens SMS, registros de chamadas, gravação surround, gravação de chamadas, coleta de arquivos de mídia, rastreamento de localização, entre outros.

 

Os principais malwares de março no Brasil

 

O principal malware no Brasil em março de 2021 foi o Dridex na liderança da lista nacional com um índice de 28,08%, muito acima do global que foi de 16.40%. A lista de principais malwares no Brasil inclui este cavalo de Troia bancário, um cavalo de Troia (Qbot), um criptominerador (XMRig), um spyware (Agenttesla) e um malware do tipo Infostealer (Lokibot).

 

 

 

 

 

 

 

 

 

 

 

 

 

Conteúdos Relacionados

Security Report | Overview

ANPD adota política interna de proteção de dados pessoais

Texto entrou em vigor nesta semana. Objetivo é consolidar boas práticas entre todos os colaboradores e assegurar medidas que garantam...
Security Report | Overview

Cibercriminosos exploram vulnerabilidade em sites WordPress, alerta laboratório

ESET identificou mais de 20 mil páginas afetadas nos últimos seis meses
Security Report | Overview

Checagem de Idade: Qual a utilidade para a proteção de dados de menores?

A proteção dos dados requer colaboração entre empresas e educadores para garantir a segurança digital dos jovens
Security Report | Overview

Pesquisa aponta evidências de uso da IA para gerar malware

O relatório mais recente indica uso de IA na criação de scripts de malware, agentes de ameaças lançando mão de...