Cibercriminosos usaram o malware IcedID para ataques que exploram as campanhas relacionadas à COVID-19

Cibercriminosos usaram o malware IcedID para ataques que exploram as campanhas relacionadas à COVID-19

O o malware IcedID foi largamente para ataques que exploram as campanhas relacionadas à COVID-19. A revelação é da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd, uma fornecedora líder de soluções de cibersegurança global, divulgou o Índice Global de Ameaças referente ao mês de março de 2021.

Os pesquisadores relataram que o cavalo de Troia bancário IcedID apareceu pela primeira vez na lista de malwares ocupando o segundo lugar, enquanto o Dridex foi o malware mais predominante, saltando do sétimo lugar em fevereiro para a liderança do ranking global em março. Na lista de Top Malware do Brasil, o IcedID não aparece, enquanto o Dridex ressurgiu em primeiro lugar com um índice de 28,08%, acima do global (16,40%). A aparição anterior do Dridex havia sido em novembro de 2020, em décimo lugar da lista mensal brasileira de malware.

Visto pela primeira vez em 2017, o IcedID se espalhou rapidamente em março de 2021 por meio de várias campanhas de spam, afetando 11% das organizações em todo o mundo. Uma campanha amplamente difundida usou um tema da COVID-19 para atrair novas vítimas a abrir anexos de e-mail maliciosos.

A maioria desses anexos são documentos do Microsoft Word com uma macro maliciosa usada para inserir um instalador para IcedID. Depois de instalado, o trojan tenta roubar detalhes da conta, credenciais de pagamento e outras informações confidenciais dos PCs dos usuários. O IcedID também usa outro malware para proliferar e tem sido usado como o estágio inicial de infecção em operações de ransomware.

Cibercriminosos usaram o malware IcedID para ataques que exploram as campanhas relacionadas à COVID-19

Quanto ao Dridex, também um cavalo de Troia bancário, este malware é direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.


O IcedID já existe há alguns anos, mas recentemente foi amplamente adotado, mostrando que os cibercriminosos continuam a adaptar suas técnicas para explorar organizações, usando a pandemia da COVID-19 como um disfarce, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).

O IcedID é um cavalo de Troia particularmente evasivo que usa uma variedade de técnicas para roubar dados financeiros; então, as organizações devem garantir que têm sistemas de segurança robustos para evitar que suas redes sejam comprometidas e minimizar os riscos. O treinamento abrangente para todos os funcionários é crucial, para que eles estejam preparados com as habilidades necessárias para identificar os tipos de e-mails maliciosos que espalham o IcedID e outros malwares, explica Maya.

A Check Point Research também alerta que a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum em março, afetando 45% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 44%.

Principais famílias de malware

Em março, o Dridex foi classificado como o malware mais popular com um impacto global de 16% das organizações. Ele foi seguido pelos malwares IcedID e Lokibot, os quais impactaram 11% e 9% das organizações em todo o mundo, respectivamente.

Dridex – Um cavalo de Troia bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam.

IcedID – Um cavalo de Troia bancário distribuído por campanhas de spam por e-mail e que usa técnicas evasivas, como ataques de injeção na Web e esteganografia, para roubar dados financeiros do usuário.

Lokibot – Um malware para Windows e Android que rouba senhas e carteiras de criptomoedas, distribuído principalmente por e-mails de phishing. É usado para roubar vários dados, como credenciais de e-mail e senhas para carteiras CryptoCoin e servidores FTP.

Principais vulnerabilidades exploradas

Em março, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade explorada mais comum, afetando 45% das organizações globalmente, seguida pela “MVPower DVR Remote Code Execution” que impactou 44% das organizações em todo o mundo. A “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 44%.

HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.

Principais malwares móveis

Em março, o Hiddad manteve-se em primeiro lugar no índice de malware móvel mais predominante, seguido por xHelper e FurBall, como em fevereiro.

Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

FurBall – Um Android MRAT (trojan de acesso remoto móvel) que é implementa pelo APT-C-50, um grupo APT iraniano conectado ao governo do Irã. Este malware foi usado em várias campanhas desde 2017 e ainda se encontra ativo atualmente. Os recursos do FurBall incluem roubo de mensagens SMS, registros de chamadas, gravação surround, gravação de chamadas, coleta de arquivos de mídia, rastreamento de localização, entre outros.

Os principais malwares de março no Brasil

O principal malware no Brasil em março de 2021 foi o Dridex na liderança da lista nacional com um índice de 28,08%, muito acima do global que foi de 16.40%. A lista de principais malwares no Brasil inclui este cavalo de Troia bancário, um cavalo de Troia (Qbot), um criptominerador (XMRig), um spyware (Agenttesla) e um malware do tipo Infostealer (Lokibot).

O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças.

O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.

A lista completa das dez principais famílias de malware em março pode ser encontrada no Check Point Blog: https://blog.checkpoint.com/2021/04/13/march-2021s-most-wanted-malware-icedid-banking-trojan-enters-top-10-following-covid-related-campaign/

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: https://www.checkpoint.com/threat-prevention-resources/index.html