A Check Point Research, divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a outubro de 2024. O relatório aponta um aumento significativo de infostealers (“ladrões de informações”, em tradução livre) como o Lumma Stealer, enquanto malwares móveis como o Necro continuam a representar uma ameaça relevante, destacando as táticas cada vez mais sofisticadas empregadas por cibercriminosos em todo o mundo.
Em outubro, pesquisadores descobriram uma cadeia de infecção na qual páginas falsas de CAPTCHA são usadas para distribuir o malware Lumma Stealer, que alcançou a 4ª posição no ranking mensal de malwares mais detectados no mundo. Essa campanha se destaca pelo seu alcance global, afetando diversos países, incluindo o Brasil (na 5ª posição no ranking mensal de malwares do país), por meio de dois vetores de infecção principais: um envolvendo URLs de downloads de jogos pirateados e outro por meio de e-mails de phishing direcionados a usuários do GitHub, representando uma abordagem inovadora de vetor de ataque.
O processo de infecção leva as vítimas a executar um script malicioso que foi copiado para sua área de transferência, destacando a crescente prevalência dos infostealers como um meio eficaz para os cibercriminosos realizarem a exfiltração de credenciais e dados críticos de sistemas comprometidos.
No campo dos malwares móveis, a nova versão do Necro emergiu como uma ameaça significativa, ocupando a 2ª posição no ranking entre os malwares móveis. O Necro infectou vários aplicativos populares, incluindo modificações (mods) de jogos disponíveis no Google Play, com uma audiência cumulativa de mais de 11 milhões de dispositivos Android.
O malware Necro utiliza técnicas de ocultação para evitar a detecção e emprega a esteganografia – prática de ocultar informações dentro de outra mensagem ou objeto físico para evitar sua identificação – para esconder suas cargas. Uma vez ativado, esse malware pode exibir anúncios em janelas invisíveis, interagir com eles e até mesmo inscrever as vítimas em serviços pagos, evidenciando as táticas cada vez mais sofisticadas que os atacantes utilizam para monetizar suas operações.
“O aumento de infostealers sofisticados evidencia uma realidade crescente. Os cibercriminosos estão evoluindo seus métodos e explorando vetores de ataque inovadores. As organizações precisam ir além das defesas tradicionais, adotando medidas de segurança proativas e adaptativas que antecipem ameaças emergentes para enfrentar esses desafios persistentes de forma eficaz”, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Top 10 malwares Globais
- ↔ FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- ↔ Androxgh0st – Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
- ↑ AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e “ladrão de informações”, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais de uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
- ↑ Lumma Stealer – Lumma Stealer, também conhecido como LummaC2, é um malware de roubo de informações (infostealer) vinculado à Rússia que opera como uma plataforma Malware-as-a-Service (MaaS) desde 2022. Este malware, descoberto em meados de 2022, está em constante evolução e é distribuído ativamente em fóruns de língua russa. Como um ladrão de informações típico, o LummaC2 se concentra na coleta de vários dados de sistemas infectados, incluindo credenciais do navegador e informações de contas de criptomoedas.
- ↓ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
- ↑ NJRat – NJRat é um trojan de acesso remoto (RAT), que visa principalmente agências governamentais e organizações no Oriente Médio. O trojan surgiu pela primeira vez em 2012 e possui múltiplas capacidades: captura de teclas digitadas, acesso à câmera da vítima, roubo de credenciais armazenadas em navegadores, upload e download de arquivos, manipulação de processos e arquivos, e visualização da área de trabalho da vítima. O NJRat infecta vítimas por meio de ataques de phishing e downloads automáticos, e se propaga através de pen drives infectados ou unidades em rede, com o suporte de software de servidor de Comando e Controle.
- ↑ AsyncRat – AsyncRat é um Trojan que visa a plataforma Windows. Esse malware envia informações do sistema sobre o sistema-alvo para um servidor remoto. Ele recebe comandos do servidor para baixar e executar plugins, encerrar processos, desinstalar/atualizar a si mesmo e capturar capturas de tela do sistema infectado.
- ↑ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos se distribui por meio de documentos maliciosos do Microsoft Office, que são anexados a e-mails de spam, e é projetado para contornar a segurança do UAC (User Account Control) do Microsoft Windows e executar malware com privilégios de alto nível.
- ↔ Glupteba – Conhecido desde 2011, Glupteba é uma porta dos fundos que gradualmente se desenvolveu em uma botnet. Até 2019, incluía um mecanismo de atualização de endereço de C&C por meio de listas públicas de BitCoin, uma capacidade integral de roubo de navegador e um explorador de roteadores.
- ↓ Vidar – Vidar é um malware ladrão de informações que opera como um Malware-as-a-Service (MaaS) e foi descoberto pela primeira vez em ambientes reais no final de 2018. O malware roda no Windows e pode coletar uma ampla gama de dados sensíveis de navegadores e carteiras digitais. Além disso, o malware é utilizado como um downloader para ransomware.
Principais vulnerabilidades exploradas em outubro
↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que atacantes remotos executassem comandos arbitrários do Sistema Operacional no sistema afetado.
Principais malwares móveis em outubro
Joker: É um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos. Além disso, o malware contrata a vítima silenciosamente para serviços premium em sites de publicidade.
Necro: Necro é um Android Trojan Dropper. Ele é capaz de baixar outros malwares, exibir anúncios intrusivos e roubar dinheiro cobrando assinaturas pagas.
Anubis: O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
Principais setores atacados no mundo e no Brasil
Em outubro de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e por Comunicações. No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de outubro foram: Governo/Forças Armadas; Comunicações; e Saúde.
Principais grupos de ransomware
Esta sessão apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
Em outubro, o RansomHub prosseguiu como o grupo de ransomware mais prevalente responsável por 17% dos ataques publicados, seguido pelo Play com 10% e o Meow indicando 5% dos ataques.
1. RansomHub – RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas direcionadas a vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de criptografia sofisticados.
2. Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia. Play Ransomware, também conhecido como PlayCrypt, é um ransomware que surgiu pela primeira vez em junho de 2022. Esse ransomware tem como alvo uma ampla gama de empresas e infraestrutura crítica na América do Norte, América do Sul e Europa, afetando aproximadamente 300 entidades até outubro de 2023. O Play Ransomware geralmente obtém acesso às redes por meio de contas válidas comprometidas ou explorando vulnerabilidades não corrigidas, como aquelas em VPNs SSL da Fortinet. Uma vez dentro, ele utiliza técnicas como o uso de binários de living-off-the-land (LOLBins) para tarefas como exfiltração de dados e roubo de credenciais.
3. Meow – O Meow Ransomware é uma variante baseada no ransomware Conti, conhecido por criptografar uma ampla gama de arquivos em sistemas comprometidos e anexar a extensão “[.] MEOW” a eles. Ele deixa uma nota de resgate chamada “readme[.]txt”, instruindo as vítimas a contatar os atacantes por e-mail ou Telegram para negociar os pagamentos do resgate. O Meow Ransomware se espalha por vários vetores, incluindo configurações RDP desprotegidas, spam de e-mail e downloads maliciosos, e usa o algoritmo de criptografia ChaCha20 para bloquear arquivos, excluindo “[.]exe” e arquivos de texto.
Os principais malwares de outubro no Brasil
No mês passado, o ranking de ameaças do Brasil continuou apontando o AgentTesla como líder do ranking nacional com impacto de 36,71% (desde junho está na liderança no país). O segundo malware que mais impactou no Brasil em outubro passado foi o FakeUpdates com impacto de 9,10% às organizações no país, e o Androxgh0st ocupou o terceiro lugar cujo impacto foi de 8,12%.
O AgentTesla é um malware que pode roubar informações confidenciais dos computadores, e também pode gravar capturas de tela e exfiltrar credenciais inseridas para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.