A Check Point divulgou o Índice Global de Ameaças referente ao mês de julho de 2021. Os pesquisadores relataram que o Trickbot, frequentemente usado nos estágios iniciais de ataques de ransomware, ainda é o malware mais comum mantendo-se na liderança da lista pelo terceiro mês consecutivo. Já o malware Snake Keylogger, que foi detectado pela primeira vez em novembro de 2020, subiu para o segundo lugar após uma intensa campanha de e-mails de phishing.
O Snake Keylogger é um programa que registra ou grava tudo o que uma pessoa digita em teclados; é do tipo spyware; e é utilizado quase sempre para capturar senhas, dados bancários, informações sobre cartões de crédito e outros tipos de dados pessoais. Por ser um keylogger modular .NET e ladrão de credenciais, sua função principal é registrar as teclas digitadas pelos usuários em computadores ou dispositivos móveis e transmitir os dados coletados aos atacantes. Nas últimas semanas, o Snake Keylogger cresceu rapidamente por meio de campanhas maliciosas de e-mails de phishing com diferentes temas disseminados em todos os países e os setores de negócios.
As infecções Snake representam uma grande ameaça à privacidade dos usuários e à segurança online, pois o malware pode roubar praticamente todos os tipos de informações confidenciais e é um keylogger particularmente evasivo e persistente. Existem atualmente fóruns de hackers clandestinos em que o Snake Keylogger está disponível para compra, cujo valor varia de US$ 25 a US$ 500, dependendo do nível de serviço oferecido.
Os ataques do keylogger podem ser particularmente perigosos porque as pessoas tendem a usar a mesma senha e nome de usuário para contas diferentes e, uma vez que uma credencial de login é violada, o cibercriminoso obtém acesso a todos aqueles que têm a mesma senha. Para impedi-los, é essencial usar uma opção única e diferente para cada um dos diversos perfis. Para isso, pode-se utilizar um gerenciador de senhas para administrar e gerar diferentes combinações fortes de acesso para cada serviço com base nas diretrizes definidas.
“Sempre que possível, os usuários devem reduzir a dependência apenas de senhas, por exemplo, implementando tecnologias de autenticação de múltiplos fatores (Multi-Factor Authentication, MFA) ou de login único (Single-Sign on, SSO)”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
A CPR também revelou que, em julho, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais comum explorada, impactando 45% das organizações globalmente, seguida por “HTTP Headers Remote Code Execution” que afetou 44% das organizações em todo o mundo . A “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em julho, o Trickbot foi o malware mais popular com um impacto global de 4% das organizações, seguido por Snake Keylogger e XMRig, sendo que cada um afetou 3% das organizações em todo o mundo.
↔ Trickbot – É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↑ Snake Keylogger – O Snake é um keylogger modular .NET e ladrão de credenciais, identificado pela primeira vez no final de novembro de 2020; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados aos atacantes.
↓ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais vulnerabilidades exploradas
Em julho, a equipe da Check Point Research também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 45% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution”, que impactou 44% das organizações no mundo todo. A vulnerabilidade “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
↑ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em julho, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e Hiddad.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
• Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de julho no Brasil
O principal malware no Brasil em julho de 2021 foi o Crackonosh que aparece pela primeira vez na lista do país com 5,33% de impacto nas organizações. O Crackonosh é um malware minerador que foi injetado em produtos de software populares e disponibilizados em plataformas de distribuição conhecidas por hospedar software pirateado. Para abrir um grande número de vítimas em potencial, os atacantes usam videogames invadidos. Assim que o Crackonosh for iniciado, ele substituirá os serviços essenciais do Windows. A ameaça também é equipada com rotinas antidetecção e pode excluir soluções antimalware do sistema comprometido.
Os malwares XMRig (5,33%, mesmo índice do Crackonosh) e Trickbot (4,82%) ocupam segundo e o terceiro lugar, respectivamente, na lista brasileira. Enquanto o Snake Keylogger está posicionado no quinto lugar (3,53%).