A Check Point Research (CPR) divulgou o Índice Global de Ameaças referente ao mês de setembro de 2020. Os pesquisadores descobriram uma versão atualizada do Valak que ingressou na lista pela primeira vez classificado como o 9º malware mais atuante no mês passado. O Emotet continua liderando o índice pelo terceiro mês consecutivo; e o cavalo de Troia Qbot, que entrou na lista pela primeira vez em agosto, também foi amplamente utilizado em setembro, subindo do 10º para o 6º lugar no índice global.
Observado pela primeira vez no final de 2019, o Valak é uma ameaça sofisticada que foi classificada anteriormente como um malware loader (programa de carregamento de malware). Nos últimos meses, novas variantes foram descobertas com mudanças funcionais significativas que permitem ao Valak efetuar o roubo de informações pessoais e corporativas. Esta nova versão do Valak é capaz de roubar dados confidenciais dos sistemas de e-mail do Microsoft Exchange, bem como credenciais de usuários e certificados de domínio. Durante o mês de setembro, o Valak se espalhou amplamente por campanhas de malspam contendo arquivos .doc maliciosos.
“Essas novas campanhas que espalham o Valak são mais um exemplo de como os atacantes visam maximizar seus investimentos em formas comprovadas de malware. Com as versões atualizadas do Qbot que surgiram em agosto, o Valak se destina a permitir o roubo de dados e credenciais em grande escala de organizações e indivíduos. As empresas devem considerar a implementação de soluções antimalware que possam impedir que esse conteúdo chegue aos usuários finais e orientar seus funcionários a serem cautelosos ao abrir e-mails, mesmo quando eles parecem ser de uma fonte confiável “, recomenda Maya Horowitz, diretora de Inteligência de Ameaças & Pesquisa e Produtos da Check Point.
Sobre Emotet, líder absoluto
Em relação ao trojan Emotet, que permanece em 1º lugar na lista pelo terceiro mês consecutivo, seu impacto foi de 14% das organizações globalmente, enquanto no Brasil foi de 15,64%. O Emotet é um Trojan avançado, auto propagável e modular. Era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. As operações do Emotet visam vender detalhes das vítimas infectadas para distribuidores de ransomware e, como já estão infectadas, elas ficam vulneráveis a mais ataques. Isso torna os ataques de ransomware ainda mais “eficazes” para o atacante, pois mais alvos infectados significam mais pontos de entrada para este tipo de ciberataque.
A equipe de pesquisa também alerta sobre “MVPower DVR Remote Code Execution” que foi a vulnerabilidade mais comum explorada em setembro, afetando 46% das organizações globalmente, seguida pela “Dasan GPON Router Authentication Bypass”, que afetou 42% das organizações em todo o mundo, e pela “Divulgação de informações do OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346)”, cujo impacto global foi de 36%.
Nova variante do Valak entra na lista mensal de malwares da Check Point pela primeira vez. Veja as principais ameaças de malware em setembro
Em setembro, o Emotet continua na liderança da lista mensal de malware com impacto global de 14% das organizações, seguido pelo Trickbot e Dridex, ambos afetando 4% e 3%, respectivamente, as organizações em todo o mundo.
Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
Dridex – É um trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e também pode baixar e executar módulos adicionais para controle remoto.
Principais vulnerabilidades exploradas
Em setembro, a “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais comum explorada, afetando 46% das organizações globalmente, seguida pela “Dasan GPON Router Authentication Bypass”, que impactou 42% das organizações, e pela “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)” com um impacto global de 36%.
MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
Principais famílias de malware – Dispositivos móveis
Em setembro, o xHelper foi o malware móvel que se manteve em primeiro lugar, seguido pelo Xafecopy e pelo Hiddad.
1. Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
2. Xafekopy – É um Trojan disfarçado de aplicativos úteis, como o Battery Master. Este Trojan carrega um código malicioso disfarçado no dispositivo. Uma vez que o aplicativo é ativado, o malware Xafecopy clica em páginas da web com faturamento WAP (Wireless Application Protocol) – uma forma de pagamento móvel que cobra custos diretamente na conta de celular do usuário.
3. Hiddad – É um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de setembro no Brasil
O principal malware no Brasil em setembro, bem como em nível global, continuou sendo o Emotet, cujo impacto nas organizações no mundo foi de 13,76%, ao passo que no Brasil o índice foi de 15,64% das organizações impactadas.
Desde o início deste ano, o criptominerador XMRig vinha liderando a lista Top 10 do Brasil: impactou 18,26% das organizações em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho. O XMRig caiu uma posição em julho, impactando 4,15% das organizações; permaneceu no 20º. lugar com 4,90% de impacto em agosto; e em 4º. lugar em setembro.
Outro dado relevante no Brasil é o de que, nos últimos seis meses, 92% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .doc foi o tipo predominantemente adotado (71,9%).
A lista completa das Top 10 principais famílias de malware de setembro pode ser encontrada no Blog Check Point.