Cibercriminosos voltam a usar o botnet Phorpiex para disseminar ransomware

O Índice Global de Ameaças revelou um novo surto de ataques usando o botnet Phorpiex, por meio do qual é disseminado o ransomware Avaddon em campanhas de spam maliciosas; no Brasil, seu impacto foi maior que o global

Compartilhar:

A Check Point divulgou o Índice Global de Ameaças referente ao mês de novembro de 2020. O destaque ficou por conta do botnet Phorpiex, cujo novo surto de infecções afetou aproximadamente 4% das organizações em todo o mundo e pouco mais de 8% no Brasil. A última vez em que o Phorpiex figurou na lista de top malware da Check Point foi em junho deste ano.

 

O botnet Phorpiex foi relatado pela primeira vez em 2010 e, em seu auge, controlou mais de um milhão de hosts infectados. Conhecido por distribuir outras famílias de malware por meio de spam, bem como fomentar campanhas de spam de “sextortion ” em grande escala e criptomin er ação, o Phorpiex distribuiu novamente o ransomware Avaddon, conforme relataram originalmente os pesquisadores da Check Point no início deste ano. O Avaddon é uma variante de Ransomware-as-a-Service (RaaS) relativamente nova, e seus operadores têm novamente recrutado afiliados para distribuir o ransomware oferecendo uma parte dos lucros. O Avaddon foi distribuído por meio de arquivos JS e Excel como parte de campanhas de malspam e é capaz de criptografar uma ampla variedade de tipos de arquivos.

 

“O Phorpiex é um dos botnets mais antigos e persistentes, e tem sido usado por seus criadores por muitos anos para distribuir outras cargas de transmissão de malware, como GandCrab e ransomware Avaddon, ou para golpes de ‘sextortion’. Esta nova onda de infecções, que prossegue atualmente, está espalhando outra campanha de ransomware, o que mostra o quão eficaz é uma ferramenta Phorpiex “, diz Maya Horowitz, diretora de Inteligência e Pesquisa de Ameaças e Produtos da Check Point. “As organizações devem conscientizar e treinar os funcionários sobre como identificar possíveis malspam e ser cautelosos ao abrir anexos desconhecidos em e-mails, mesmo que pareçam vir de uma fonte confiável. Eles também devem garantir a implementação de segurança que os impeça ativamente de infectar suas redes.”

 

A equipe de pesquisa da CPR também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” é a vulnerabilidade de execução remota de código explorada mais comum em novembro, afetando 54% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” impactando 48% das organizações em todo o mundo. Enquanto a vulnerabilidade “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” impactou 44% das organizações globalmente.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em novembro, o Phorpiex foi o malware mais popular com um impacto global de 4% das organizações, seguido de perto pelo Dridex e Hiddad, os quais impactaram pouco mais de 3% das organizações em todo o mundo.

 

Phorpiex – Um botnet conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de extorsão do tipo “sextortion” em larga escala.

 

Dridex – É um trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.

 

Hiddad – É um malware Android que “reempacota” aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança integrados ao sistema operacional.

 

Principais vulnerabilidades exploradas

 

No mês de novembro, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” é a vulnerabilidade explorada mais comum, afetando 54% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” com impacto de 48% e “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” que afetou 44% das organizações em todo o mundo.

 

 ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.

 

MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

 

Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.

 

Principais malwares móveis

 

Em novembro, o Hiddad continua sendo o malware móvel mais prevalente, seguido por xHelper e Lotoor.

 

• Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

 

• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

• Lotoor – Uma ferramenta de invasão que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.

 

Os principais malwares de novembro no Brasil

 

O principal malware no Brasil em novembro, bem como em nível global, é o botnet Phorpiex, cujo impacto nas organizações no mundo foi de 3,65%, ao passo que no Brasil o índice foi de 8,31% das organizações brasileiras impactadas.

 

Outro dado relevante no Brasil é o de que, nos últimos seis meses, 67% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .xls foi o tipo predominantemente adotado (30,9%) nos ataques.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...