A Check Point publicou o Índice Global de Ameaças referente ao mês de abril de 2022. Os pesquisadores relataram que o Emotet, um cavalo de Troia avançado, autopropagável e modular, ainda é o malware mais prevalente, afetando 6% das organizações em todo o mundo.
Apesar disso, houve uma movimentação no ranking para todos os outros malwares do índice. Tofsee e Nanocore saíram da lista global e foram substituídos por Formbook e Lokibot, agora o segundo e o sexto malwares mais predominantes, respectivamente.
No Brasil, o revés foi maior, pois o Emotet ficou em segundo lugar na lista nacional de abril sendo desbancado pelo Chaes, o malware responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.
A pontuação mais alta do Emotet na lista referente ao mês de março (10%) deveu-se principalmente a golpes específicos relacionados ao tema da Páscoa. Mas, a redução em abril também pode ser explicada pela decisão da Microsoft de desabilitar macros específicas associadas a arquivos do Office, afetando a maneira como o Emotet geralmente é entregue.
De fato, há relatos de que o Emotet possui um novo método de entrega, usando e-mails de phishing que contêm uma URL do OneDrive. O Emotet tem muitos usos depois que consegue contornar as proteções de uma máquina. Devido às suas técnicas sofisticadas de propagação e assimilação, o Emotet também oferece outros malwares para cibercriminosos em fóruns da Dark Web, incluindo cavalos de Troia bancários, ransomwares, botnets, entre outros. Como resultado, uma vez que o Emotet encontra uma violação, as consequências podem variar dependendo de qual malware foi entregue após a violação ter sido comprometida.
A partir do segundo lugar no índice global de abril, a CPR observou uma reviravolta. O Lokibot, um InfoStealer (roubo de informações), voltou a entrar na lista ocupando o sexto lugar após uma campanha de spam de alto impacto, a qual distribuiu o malware por meio de arquivos xlsx feitos para parecerem faturas legítimas. Isso, e a ascensão do Formbook, afetaram a posição de outros malwares como o cavalo de Troia de acesso remoto avançado (RAT) AgentTesla, por exemplo, que passou do segundo para o terceiro lugar.
Em termos de vulnerabilidades críticas, no final de março, essas foram encontradas no Java Spring Framework, conhecidas como Spring4Shell e, desde então, vários atacantes aproveitaram a ameaça para espalhar o Mirai, o nono malware mais prevalente em abril.
“Com o cenário de ameaças cibernéticas em constante evolução e com grandes corporações como a Microsoft influenciando os parâmetros nos quais os cibercriminosos podem operar, os atacantes precisam se tornar mais criativos na forma como distribuem malware, evidente no novo método de entrega agora empregado pelo Emotet”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
A CPR também revelou em abril que Educação e Pesquisa continua sendo o setor mais atacado globalmente por cibercriminosos. A “Web Server Exposed Git Repository Information Disclosure” é a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida de perto pela “Apache Log4j Remote Code Execution”. A “Apache Struts ParametersInterceptor ClassLoader Security Bypass” foi a vulnerabilidade que disparou no índice, ocupando o terceiro lugar em abril com um impacto global de 45%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em abril, o Emotet ainda foi o malware mais popular, afetando 6% das organizações em todo o mundo, seguido de perto pelo Formbook que impactou 3% das organizações e o AgentTesla com impacto de 2%.
↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↑ Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↓ AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
Principais setores atacados no mundo:
Em abril, Educação e Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking de março.
1.Educação/Pesquisa
2.Governo/Militar
3.ISP/MSP
No Brasil, os três setores no ranking nacional mais visados em abril foram:
1.Integrador de Sistemas/VAR/Distribuidor
2.Governo/Militar
3.Varejo/Atacado
Principais vulnerabilidades exploradas
Em abril, a equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, com a “Apache Log4j Remote Code Execution” praticamente “colada” em segundo lugar com impacto global também de 46%. A “Apache Struts ParametersInterceptor ClassLoader Security Bypass” está agora em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.
↑ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
↑ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,
Principais malwares móveis
Em abril, o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.
1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
2.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
3.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
Os principais malwares de abril no Brasil
O principal malware no Brasil em abril foi o Chaes (6,50%), assumindo a liderança e deixando o Emotet em segundo lugar (5,66%) no ranking nacional, enquanto o XMRig (2,75%) ocupou o terceiro lugar.
Em março, o Chaes havia aparecido pela primeira vez no ranking nacional e ocupou o segundo lugar. Este ladrão de informações (InfoStealer) é usado para roubar dados confidenciais do cliente, como credenciais de login e informações financeiras. Este malware é conhecido por usar técnicas de evasão para evitar detecções de antivírus. Chaes foi visto no passado visando clientes de plataformas de comércio eletrônico, principalmente na América Latina, como Mercado Livre e Mercado Pago.