Emotet evolui com novo módulo de roubo de cartão de crédito e melhorias em sua propagação

Relatório relata que o Emotet ainda é o malware mais prevalente, apesar de uma diminuição significativa em seu impacto global; contudo conta com novas funcionalidades e melhorias em suas capacidades

Compartilhar:

A Check Point Research  publicou o Índice Global de Ameaças referente ao mês de julho de 2022. Os pesquisadores relataram que o Emotet continua seu “reinado” como o malware mais usado pelos cibercriminosos, apesar de uma redução de 50% em seu impacto global em comparação com o mês de junho deste ano.

 

Após um pico no impacto global em junho, o Emotet voltou aos seus números médios de impacto global e prossegue como o malware mais difundido. Possivelmente seu pico acabou devido ao período de férias de verão no hemisfério norte, como se viu no passado. No entanto, novas funcionalidades e melhorias nas capacidades do Emotet são constantemente descobertas, como o desenvolvimento de seu mais recente módulo de roubo de cartão de crédito e ajustes feitos em seus sistemas de spread (propagação).

 

Em julho, a equipe da CPR também observou o Snake Keylogger, um ladrão de credenciais, cair do terceiro para o oitavo lugar no ranking de top malwares. Em junho, o Snake Keylogger estava sendo distribuído por meio de documentos maliciosos do Word, de modo que a diminuição em sua prevalência pode ser em parte devido à recente confirmação da Microsoft de que bloqueará macros por padrão. O malware que o substituiu em terceiro lugar é o XMRig, um software de CPU de código aberto usado para minerar criptomoedas – isso indica que os cibercriminosos estão fundamentalmente “no negócio pelo dinheiro”, apesar de quaisquer motivações mais elevadas que possam alegar, tais como o hacktivismo.

 

Já o MaliBot, que era novo no ranking do relatório em junho, continua sendo uma ameaça para os usuários de mobile banking, pois ainda é o terceiro malware móvel mais prevalente em todo o mundo.

 

“O Emotet continua a dominar nossos principais gráficos mensais de malware”, diz Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Esta botnet evolui continuamente para manter sua persistência e evasão.  Seus desenvolvimentos mais recentes incluem um módulo de roubo de cartão de crédito, o que significa que empresas e indivíduos devem ter cuidado extra ao fazer compras online. Além disso, com a Microsoft agora confirmando que bloqueará macros por padrão, aguardamos para ver como malwares, como o Snake Keylogger, poderão mudar suas táticas.”

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em julho, o Emotet prosseguiu como o malware mais popular com impacto global de 7%, seguido pelo Formbook, que afeta 3% das organizações em todo o mundo e, em terceiro lugar, pelo XMRig com um impacto global de 2%.

 

↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 

↔ Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

 

↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os atacantes geralmente abusam desse software de código aberto, integrando-o ao malware para realizar mineração ilegal nos dispositivos das vítimas.

 

A lista completa das dez principais famílias de malware em julho pode ser encontrada no blog da Check Point Software.

 

Principais setores atacados globalmente e no Brasil

 

Quanto aos setores, em julho, Educação/Pesquisa mantém-se como o setor mais atacado globalmente, seguido por Governo/Militar e Provedores de Serviços de Internet/Provedores de Serviços Gerenciados (ISP/MSP).

 

1.Educação/Pesquisa

2.Governo/Militar

3.ISP/MSP

 

No Brasil, os três setores no ranking nacional mais visados em julho foram:

 

1.Comunicações

2.Varejo/Atacado

3.Governo/Militar

 

O setor de Educação/Pesquisa caiu de sexto para o oitavo lugar em julho no ranking nacional.

 

Principais vulnerabilidades exploradas

 

Em julho, a equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, impactando 42% das organizações no mundo, seguida de perto pela “Apache Log4j Remote Code Execution”, cujo impacto global foi de 41%. A “Web Servers Malicious URL Directory Traversal” permaneceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 39%.

 

Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

 

Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

 

↔Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

 

Principais malwares móveis

 

Em julho, o AlienBot é o malware móvel mais prevalente, seguido por Anubis e o MaliBot.

 

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

 

2.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

 

3.MaliBot é um malware bancário do Android que foi detectado visando usuários na Espanha e na Itália. Este malware se disfarça como aplicativos de mineração de criptomoedas com nomes diferentes e se concentra no roubo de informações financeiras, carteiras de criptomoedas e mais dados pessoais.

 

Os principais malwares de julho no Brasil

 

O principal malware no Brasil em julho continuou sendo o Emotet, com um índice de impacto de 24,22%  (este malware vem liderando a lista nacional desde maio de 2022). Em segundo lugar no ranking nacional prossegue o Chaes com índice de impacto de 4,86%; este malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.

 

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...