Os golpes de phishing da Páscoa ajudam o malware Emotet a afirmar seu domínio

Levantamento revela que o Emotet continua sendo o malware mais predominante, igualmente para o ranking do Brasil; enquanto o AgentTesla passa do quarto para o segundo lugar na lista global após várias campanhas de spam com o tema da guerra entre Rússia e Ucrânia

Compartilhar:

A Check Point divulga o Índice Global de Ameaças referente ao mês de março de 2022. Os pesquisadores relatam que o Emotet continua seu “reinado” como o malware mais popular, impactando 10% das organizações em todo o mundo, dobrando seu porcentual em comparação com o mês de fevereiro.

 

Emotet é um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Desde seu retorno em novembro do ano passado e as recentes notícias de que o Trickbot foi encerrado, o Emotet vem fortalecendo sua posição como o malware mais predominante.

 

Isso se solidificou ainda mais em março, pois muitas campanhas de e-mail agressivas distribuíram o botnet, incluindo vários golpes de phishing com tema de Páscoa explorando o agito em torno das festividades dessa data. Esses e-mails foram enviados para vítimas em todo o mundo, com um exemplo em que a linha do assunto era “buona pasqua, feliz páscoa”, mas anexado ao e-mail havia um arquivo XLS malicioso para disseminar e “instalar” o Emotet.

 

Em março, o AgentTesla, o RAT avançado que funciona como keylogger e ladrão de informações, é o segundo malware mais prevalente, após aparecer em quarto lugar no índice de fevereiro. A ascensão do AgentTesla se deve a várias novas campanhas de spam mal-intencionado que disseminam o RAT por meio de arquivos xlsx/pdf maliciosos em todo o mundo. Algumas dessas campanhas alavancaram o tema da guerra Rússia/Ucrânia para atrair vítimas.

 

“A tecnologia avançou nos últimos anos a tal ponto que os cibercriminosos estão cada vez mais tendo que acreditar na confiança humana para acessar uma rede corporativa. Ao criar um tema para seus e-mails de phishing em feriados sazonais, como a Páscoa, eles podem explorar o agito das festividades e atrair as vítimas para baixar anexos maliciosos que contêm malwares como o Emotet. No período que antecede o fim de semana da Páscoa, esperamos ver mais desses golpes e pedimos aos usuários que prestem muita atenção, mesmo que o e-mail pareça ser de uma fonte confiável. A Páscoa não é o único feriado e os cibercriminosos continuarão a usar as mesmas táticas para infligir danos”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

 

A CPR também revelou em março que Educação / Pesquisa novamente é o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers/Managed Service Providers (ISP/MSP). Agora, a “Web Server Exposed Git Repository Information Disclosure” é a segunda vulnerabilidade mais explorada, impactando 26% das organizações em todo o mundo, enquanto “Apache Log4j Remote Code Execution” ocupa o primeiro lugar, impactando 33% das organizações. A vulnerabilidade “HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)” mantém o terceiro lugar com um impacto global de 26%.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em março, o Emotet ainda foi o malware mais popular, afetando 10% das organizações em todo o mundo, seguido pelo AgentTesla e XMRig, ambos impactando 2% das empresas, cada um.

 

↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 

↑ AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

 

↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

 

Principais setores atacados:

 

Em março, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP.

 

1.Educação/Pesquisa

2.Governo/Militar

3.ISP/MSP

 

No Brasil, os três setores no ranking nacional mais visados em março foram:

 

1.Integrador de Sistemas/VAR/Distribuidor

2.Varejo/Atacado

3.Governo/Militar

 

Principais vulnerabilidades exploradas

 

Em março, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais comumente explorada, impactando 33% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que caiu do primeiro para o segundo lugar e impacta 26% das organizações em todo o mundo. A “HTTP Headers Remote Code Execution” manteve-se ainda como a terceira vulnerabilidade mais explorada, com um impacto global de 26%.

 

↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

 

↓ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

 

 HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

 

Principais malwares móveis

 

Em março, o AlienBot foi o malware móvel mais prevalente, seguido por xHelper  e FluBot.

 

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

 

2.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

3.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

 

Os principais malwares de março no Brasil

 

O principal malware no Brasil em março prosseguiu sendo o Emotet que apresentou o índice de 6,86% de impacto nas organizações brasileiras; em segundo lugar foi o Chaes (6,34%) no ranking nacional no mês passado, enquanto o Glupteba (2,88%) ocupou o terceiro lugar.

 

O Emotet é um cavalo de Troia avançado, autopropagável e modular que já foi usado como um trojan bancário e, atualmente, distribui outros malwares ou campanhas maliciosas. O Emotet usa vários métodos para manter técnicas de persistência e evasão a fim de evitar a detecção, e pode ser distribuído por e-mails de phishing contendo anexos ou links maliciosos. Segundo relatório Threat Intelligence da Check Point Software, nos últimos 30 dias (março 2022), 67% dos arquivos maliciosos no Brasil foram encaminhados via e-mail.

 

Em relação ao “novato” Chaes, que aparece pela primeira vez no ranking nacional e em segundo lugar, é um ladrão de informações usado para roubar dados confidenciais do cliente, como credenciais de login e informações financeiras. Este malware é conhecido por usar técnicas de evasão para evitar detecções de antivírus. Chaes foi visto no passado visando clientes de plataformas de comércio eletrônico, principalmente na América Latina.

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...