Depois de vacina que funcionou durante algum tempo, o malware Emotet volta a atacar após cinco meses de ausência. Ele é considerado o mais letal do mundo. É o que mostra a mais recente pesquisa feita pela empresa de cibersegurança Check Point. Segundo eles, o Emotet está em primeiro lugar no ranking. O malware já impactou cerca de 5% das organizações em todo o mundo. Ele age enviando campanhas de malspam.
De acordo com a Check Point, isso começou a desacelerar em fevereiro deste ano. No entanto, os ataques voltaram em julho. Esse padrão já havia sido observado em 2019. Ano passado, o Emotet interrompeu a atividade entre os meses de junho a agosto. Só retornou em setembro.
Em julho deste ano, o Emotet estava distribuindo campanhas de malspam. Infectou vítimas com TrickBot e Qbot. Esses malwares são usados para roubar credenciais bancárias e se espalhar dentro de redes. Algumas das campanhas de spam continham arquivo .doc malicioso. Eles vêm com nomes como “form.doc” ou “invoice.doc”.
O documento malicioso inicia um script do PowerShell. Assim, extrai o binário do Emotet das páginas Web remotamente para infectar máquinas. Então, elas passam a fazer parte da rede botnet.
Malware Emotet volta a atacar após cinco meses de ausência
Podemos supor que os desenvolvedores por trás do botnet estavam atualizando seus recursos e suas capacidades. No entanto, como está ativo novamente, as organizações devem preparar os funcionários sobre como identificar os tipos de malspam que carregam essas ameaças. Além disso, precisam alertar sobre os riscos de abrir anexos de e-mail ou clicar em links de fontes externas. As empresas também devem atentar para a implementação de soluções antimalware. É o que adverte Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point.
A equipe de pesquisas da Check Point também alerta sobre a vulnerabilidade “MVPower DVR Remote Code Execution”. Este foi o problema mais explorado no mês passado. Nada menos que 44% das organizações mundiais foram afetadas. Em seguida, vem o “OpenSSL TLS DTLS Heartbeat Information Disclosure”, que afetou 42% das organizações. Depois, foi a vez do “Command Injection Over HTTP Payload”, em terceiro lugar com um impacto global de 38%.
As principais famílias de malware
Veja a seguir os números atuais referentes a julho de 2020. Emotet foi o malware líder. É seguido de perto pelo Dridex e pelo Agente Tesla. Ambos afetam 4% das organizações cada um.
- Emotet – É um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário. Porém, foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
- Dridex – É um Trojan bancário direcionado à plataforma Windows. É distribuído via campanhas de spam e kits de exploração. Baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado. Do mesmo modo, pode baixar e executar módulos adicionais para controle remoto.
- Agent Tesla – É um RAT (remote access Trojan) avançado. Funciona como um keylogger e ladrão de informações. É capaz de monitorar e coletar as entradas do teclado da vítima e o teclado do sistema. Além disso, vai tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima. Isso inclui Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook.
Malware Emotet volta a atacar. Principais vulnerabilidades exploradas em julho
- MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código. Existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada;
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346). Vulnerabilidade de divulgação de informações que existe no OpenSSL. Ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado;
- Command Injection Over HTTP Payload: Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada à vítima. A exploração bem-sucedida permitiria ao atacante executar código arbitrário na máquina de destino.
Principais famílias de malware – Dispositivos móveis
- xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
- Necro – é um aplicativo malicioso Android Trojan.Dropper. Pode baixar outros malwares, mostrando anúncios intrusivos. Rouba dinheiro cobrando pelas assinaturas;
- PreAMo – um malware Android que imita o usuário clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub.
Os principais malwares de julho no Brasil
- impactou 18,26% em janeiro;
- 11,13% em fevereiro;
- 7% em março;
- 4,99% em abril;
- 3,88% em maio;
- 4,42% em junho;
- e, em julho, caiu para o 5º. lugar.