Ataques por malware exploram arquivos em PDF

Embora o Emotet ainda seja o malware número um, tanto no ranking mundial como no Brasil, o Snake Keylogger retorna ao índice global em oitavo lugar após campanhas de e-mail que entregam este malware por meio de arquivos PDF

Compartilhar:

A Check Point Research publicou o Índice Global de Ameaças referente ao mês de maio de 2022 e os pesquisadores relatam que o Emotet, um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção, ainda é o mais prevalente no mundo e no Brasil como resultado de várias campanhas generalizadas.

 

Além disso, em maio, o malware Snake Keylogger saltou para o oitavo lugar após uma longa ausência no índice; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.

 

O Snake Keylogger geralmente é distribuído por e-mails que incluem anexos com extensões docx ou xlsx com macros maliciosas. No entanto, em maio, os pesquisadores da CPR relataram que o Snake Keylogger foi disseminado por meio de arquivos PDF. Isso pode ser devido, em parte, ao bloqueio da Microsoft por macros padrão da Internet no Office, o que significa que os cibercriminosos tiveram que se tornar mais criativos, explorando novos tipos de arquivos, como PDFs. Essa maneira rara de distribuir o malware está se mostrando bastante eficaz, pois algumas pessoas percebem que os documentos PDFs são inerentemente mais seguros do que outros tipos de arquivo.

 

Em relação ao Emotet, este malware está impactando 8% das organizações em todo o mundo, um ligeiro aumento em relação ao mês de abril. O Emotet é um malware ágil que se mostra lucrativo devido à sua capacidade de permanecer indetectável. Sua persistência também dificulta a remoção após a infecção de um dispositivo, tornando-o a ferramenta perfeita no arsenal de um cibercriminoso. Originalmente um cavalo de Troia bancário, é frequentemente distribuído por e-mails de phishing e tem a possibilidade de oferecer outros malwares, aumentando sua capacidade de causar danos generalizados.

 

“Como é evidenciado pelas mais recentes campanhas do Snake Keylogger, tudo o que publicamos online coloca-nos em risco de um ciberataque, e abrir um arquivo PDF não é exceção. Vírus e códigos executáveis maliciosos podem se esconder em conteúdo multimídia e links com o ataque de malware, neste caso o Snake Keylogger, o qual está pronto para atacar assim que o usuário abrir um arquivo PDF”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. 

 

“Portanto, assim como questionaríamos a legitimidade de um arquivo docx ou xlsx no anexo de um e-mail, devemos ter a mesma cautela em relação aos PDFs. No panorama atual, nunca foi tão importante às organizações ter uma solução robusta de segurança de e-mail que coloque em quarentena e inspecione anexos, evitando que arquivos maliciosos entrem na rede em primeiro lugar”, reforça Maya.

 

Lista de setores e vulnerabilidades de maio

 

A CPR também revelou que, em maio, Educação e Pesquisa prosseguiu como primeiro na lista de setores mais atacados globalmente por cibercriminosos. A “Web Servers Malicious URL Directory Traversal” foi a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida (praticamente “colada”) pela “Apache Log4j Remote Code Execution” com igual impacto global de 46%. A “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade que ocupou o terceiro lugar no índice com um impacto global de 45%.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em maio, o Emotet ainda foi o malware mais popular, afetando 8% das organizações em todo o mundo, seguido pelo Formbook que impactou 2% das organizações e o AgentTesla também com impacto de 2%, respectivamente em segundo e terceiro lugares.

 

 Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 

 Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

 

 AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

 

Quanto aos setores, em maio, Educação e Pesquisa continuou sendo o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking dos meses de março e abril.

 

1.Educação/Pesquisa

2.Governo/Militar

3.Internet Service Providers (ISP)/Managed Service Providers (MSP)

 

No Brasil, os três setores no ranking nacional mais visados em maio foram:

 

1.Integrador de Sistemas/VAR/Distribuidor 

2.Varejo/Atacado

3.Governo/Militar 

 

O setor de Educação/Pesquisa ficou em sexto lugar no ranking nacional.

 

Principais vulnerabilidades exploradas

 

Em maio, a equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal”  foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, com a “Apache Log4j Remote Code Execution” “coladinha” e em segundo lugar com impacto global também de 46%. A “Web Server Exposed Git Repository Information Disclosure” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

 

 Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

 

 Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

 

 Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

 

Principais malwares móveis

 

Em maio, os malwares móveis mantiveram-se nas mesmas posições do índice de abril: o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.

 

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

 

2.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

 

3.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

Os principais malwares de maio no Brasil

 

O principal malware no Brasil em maio voltou a ser o Emotet, reassumindo a liderança com 23,55% de impacto das organizações. O Chaes desceu para o segundo lugar (6,88%) no ranking nacional; este  malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.

 

Em terceiro lugar apareceu o malware PseudoManuscrypt (3,75%), um spyware usado em campanhas de espionagem que ameaçam principalmente organizações governamentais e sistemas de controle industrial. Este spyware tem recursos avançados de espionagem, incluindo capturas de tela da vítima e coleta de credenciais de autenticação VPN.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...