A Check Point divulgou o Índice Global de Ameaças referente ao mês de agosto de 2021. Os pesquisadores relataram que o Formbook (um infostealer) é agora o malware mais predominante no ranking mensal no mundo, assumindo o lugar de liderança do Trickbot, o qual caiu para o segundo lugar após ter liderado o índice por três meses consecutivos.
No mundo, 4,5% das organizações foram impactadas pelo Formbook, enquanto no Brasil, 5,25% delas sofreram seu impacto durante o mês de agosto. Visto pela primeira vez em 2016, o Formbook é um infostealer que rouba credenciais de vários navegadores da web, captura imagens, monitora e registra digitação de teclas e pode baixar e executar arquivos de acordo com as ordens de comando e controle (C&C).
Recentemente, o Formbook foi distribuído por meio de campanhas maliciosas com o tema COVID-19 e em e-mails de phishing; em julho de 2021, a CPR relatou que uma nova família de malware derivada de Formbook, chamada XLoader, agora passava a ter como alvo também os usuários do macOS.
“O código do Formbook é escrito em linguagem C com inserções de montagem e contém uma série de truques para torná-lo mais evasivo e difícil para os pesquisadores o analisarem”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Como geralmente é distribuído por meio de e-mails e anexos de phishing, a melhor maneira de evitar uma infecção do Formbook é estar atento a quaisquer e-mails que pareçam estranhos ou venham de remetentes desconhecidos.”
Quanto ao cavalo de Troia bancário Qbot, cujos operadores são conhecidos por fazerem pausas durante o meio do ano, este desceu no ranking completamente, saindo do Top 10 após uma longa permanência; ao passo que o Remcos, um cavalo de Troia de acesso remoto (RAT), entrou no índice pela primeira vez em 2021, ocupando o sexto lugar.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em agosto, o Formbook foi o malware mais popular com um impacto global de 4,5% das organizações, seguido por Trickbot e Agent Tesla, sendo que cada um afetou 4% e 3% das organizações em todo o mundo respectivamente.
• ↑ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.
• ↓ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
• ↑ Agent Tesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
Principais vulnerabilidades exploradas
Em agosto, a equipe da Check Point Research também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 45% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution”, que impactou 43% das organizações no mundo todo. A vulnerabilidade “Dasan GPON Router Authentication Bypass” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 40%.
↔ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
↑Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.
Principais malwares móveis
Em agosto, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
• FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Os principais malwares de agosto no Brasil
O principal malware no Brasil em agosto de 2021 foi o XMRig, o qual retornou à liderança da lista do País com 5,32% de impacto nas organizações. Visto pela primeira vez em maio de 2017, o XMRig é um software de criptomineração de CPU de código aberto usado para minerar a criptomoeda Monero.
Com uma pequena diferença em relação ao XMRig, o Formbook aparece em segundo lugar no Brasil, com 5,25% das organizações impactadas por este infostealer. Já o Trickbot figura no terceiro lugar com 4,58% das organizações sendo afetadas por ele.
