Emotet retorna atualizado com novas cargas maliciosas

Empresa relata novas campanhas usando o trojan Emotet que atingiram mais de 100 mil usuários por dia

Compartilhar:

A Check Point Research divulgou o Índice Global de Ameaças referente ao mês de dezembro de 2020. O destaque ficou por conta do retorno do trojan Emotet ao primeiro lugar na lista de malware, impactando 7% das organizações em todo o mundo, após uma campanha de spam que atingiu mais de 100 mil usuários por dia durante a temporada de festas do final do ano passado.

 

Desta vez, o Emotet não aparece na lista do Brasil dos dez malwares do mês. O FritzFrog lidera o ranking brasileiro de dezembro, um botnet ponto a ponto (P2P) altamente sofisticado que tem violado ativamente servidores SSH (Secure Socket Shell) em todo o mundo. O malware combina um conjunto de propriedades que o tornam único e não tem arquivo, pois monta e executa cargas úteis na memória. O protocolo P2P do FritzFrog é proprietário e não se baseia em nenhuma implementação existente; este botnet cria um backdoor na forma de uma chave pública SSH, permitindo que os atacantes tenham acesso contínuo às máquinas das vítimas.

 

Emotet renovado

 

Em setembro e outubro de 2020, o Emotet estava consistentemente no topo do Índice Global de Ameaças da Check Point e estava vinculado a uma onda de ataques de ransomware . Mas, em novembro deixou de predominar, caindo para o 5º lugar na lista mensal. Os pesquisadores afirmam que, agora, o Emotet foi atualizado com novas cargas maliciosas e recursos aprimorados de evasão de detecção: a versão mais recente cria uma caixa de diálogo que ajuda a evitar a detecção pelos usuários. A nova campanha de spam malicioso do Emotet usa diferentes técnicas de entrega para distribuí-lo, incluindo links incorporados, anexos de documentos ou arquivos Zip protegidos por senha.

 

Identificado pela primeira vez em 2014, o Emotet tem sido atualizado regularmente por seus desenvolvedores para manter sua eficácia contra atividades maliciosas. O Departamento de Segurança Interna dos Estados Unidos estimou que cada incidente envolvendo o Emotet custa às organizações mais de US$ 1 milhão para retificar.

 

“O Emotet foi originalmente desenvolvido como trojan bancário que se infiltrava nos computadores dos usuários para roubar informações privadas e confidenciais. No entanto, ele evoluiu com o tempo e agora é visto como uma das variantes de malware mais caras e destrutivas”, explica Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point Software Technologies. “É fundamental que as organizações estejam cientes da ameaça que o Emotet representa e que tenham sistemas de segurança robustos em funcionamento para evitar uma violação significativa de seus dados. Eles também devem fornecer treinamento abrangente para os funcionários, para que sejam capazes de identificar os tipos de e-mails maliciosos que espalham o Emotet”, recomenda Maya.

 

A equipe de pesquisa da Check Point também informa que a “MVPower DVR Remote Code Execution” é a vulnerabilidade explorada mais comum, afetando 42% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que afeta 42% das organizações no mundo.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em dezembro de 2020, o Emotet voltou a ser o malware mais popular com um impacto global de 7% nas organizações, seguido de perto pelo Trickbot e Formbook, os quais impactaram 4% das organizações em todo o mundo cada um.

 

• ↑ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 

• ↑ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

 

• ↑ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.

 

Principais vulnerabilidades exploradas

 

No mês de dezembro, a “MVPower DVR Remote Code Execution” é a vulnerabilidade explorada mais comum, afetando 42% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que afetou 42% das organizações em todo o mundo. A “Web Server Exposed Git Repository Information Disclosure” está em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.

 

• ↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

 

• ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.

 

• ↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

 

Principais malwares móveis

 

Em dezembro, o Hiddad posiciona-se em 1º lugar na lista de malware móvel mais prevalente, seguido por xHelper e Triada.

 

1) Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

 

2) xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

3) Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.

 

Os principais malwares de dezembro no Brasil

 

O principal malware no Brasil em dezembro foi o botnet FritzFrog, cujo impacto nas organizações no mundo foi de 1,44%, ao passo que no Brasil o índice foi de 7,45% das organizações brasileiras impactadas.

 

O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...