A Check Point Research (CPR) publicou o Índice Global de Ameaças referente ao mês de dezembro do ano passado. Os pesquisadores informaram o retorno do Qbot, quatro meses depois de as autoridades policiais internacionais e dos Estados Unidos terem desmantelado a sua infraestrutura na Operação Duck Hunt em agosto de 2023. Enquanto isso, o downloader de JavaScript FakeUpdates saltou para o primeiro lugar no ranking global do final do ano.
No mês de dezembro, o malware Qbot foi utilizado pelos cibercriminosos como parte de um ataque de phishing de escala limitada dirigido a organizações do setor de hotelaria. Na campanha, o estudo revelou que os hackers se fizeram passar pela Receita Federal dos Estados Unidos (o órgão IRS – Internal Revenue Service) e enviaram e-mails maliciosos contendo anexos PDF com URLs incorporadas ligadas a um instalador da Microsoft.
Uma vez ativado, este instalador desencadeava uma versão invisível do Qbot que se aproveitava de uma biblioteca Dynamic Link Library (DLL) incorporada. Anterior a agosto de 2023, o Qbot dominava o índice de ameaças, tanto globalmente como no Brasil, classificando-se como um dos três malwares mais prevalentes durante dez meses consecutivos. Embora não tenha voltado entre os Top 10 Malwares do índice, os próximos meses determinarão se o Qbot recuperará a notoriedade que tinha previamente.
Entretanto, o FakeUpdates continuou a sua ascensão ao topo depois de ter reaparecido no final de 2023, alcançando o primeiro lugar do ranking global com um impacto de 2%. O Nanocore também manteve uma posição entre os cinco primeiros durante seis meses consecutivos, ocupando o terceiro lugar em dezembro; e registraram-se novas entradas dos malwares Ramnit e Glupteba.
“Ver o Qbot de volta ao cenário menos de quatro meses depois de a sua infraestrutura de distribuição ter sido desmantelada é um lembrete de que, embora possamos interromper as campanhas de malware, os cibercriminosos por trás delas se adaptarão às novas tecnologias”, alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. “É por isso que as organizações são orientadas a adotar uma abordagem preventiva à segurança dos endpoints e a realizar a devida diligência sobre as origens e a intenção de um e-mail”, completa Maya.
A equipe da CPR também revelou que “Apache Log4j Remote Code Execution (CVE-2021-44228) e “Web Servers Malicious URL Directory Traversal” foram as vulnerabilidades mais exploradas, afetando 46% das organizações em todo o mundo. A “Injeção de comandos Zyxel ZyWALL (CVE-2023-28771)” veio na sequência com um impacto global de 43%.
Principais famílias de malware
O FakeUpdates e o Formbook foram os malwares mais prevalentes em dezembro de 2023, com um impacto de 2% nas organizações mundiais, seguidos pelo Nanocore, com um impacto global de 1%.
Os Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Já o formbook é um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
Além desses, há o nanocore, que se trata de um Trojan de Acesso Remoto (RAT) que tem como alvo os usuários do sistema operacional Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de tela, mineração de criptomoedas, controle remoto do ambiente de trabalho e roubo de sessões de webcam.
Principais setores atacados
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de dezembro foram: utilities (média de 1.891 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023); transportes (média de 1.744 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023) e Governo/Forças Armadas (média de 1.951 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023).
Principais malwares móveis
O anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
Enquanto isso, o AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
O Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
No Brasil
Em dezembro, o ranking de ameaças do Brasil contou com o Chaes na liderança do ranking com impacto de cerca de 3%; em segundo lugar, o Fakeupdates cujo impacto foi de 2,76% (pouco a mais que o global de 2,32%); enquanto o Nanocore permaneceu em terceiro lugar com impacto de cerca de 2%.
