Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

O malware Emotet continua na liderança de ataques cibernéticos ocorridos no Brasil. É o que mostra a pesquisa de maio do índice Global de Ameaças, feito pela empresa de segurança Check Point Research (CPR). Os pesquisadores relatam que o Emotet, um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção, ainda é o mais prevalente no mundo e no Brasil como resultado de várias campanhas generalizadas. Assim, conforme mostra a pesquisa, crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados.

Além disso, em maio, o malware Snake Keylogger saltou para o oitavo lugar após uma longa ausência no índice; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.

O Snake Keylogger geralmente é distribuído por e-mails que incluem anexos com extensões docx ou xlsx com macros maliciosas. No entanto, em maio, os pesquisadores da CPR relataram que o Snake Keylogger foi disseminado por meio de arquivos PDF. Isso pode ser devido, em parte, ao bloqueio da Microsoft por macros padrão da Internet no Office, o que significa que os cibercriminosos tiveram que se tornar mais criativos, explorando novos tipos de arquivos, como PDFs. Essa maneira rara de distribuir o malware está se mostrando bastante eficaz, pois algumas pessoas percebem que os documentos PDFs são mais seguros do que outros tipos de arquivo.

Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

Em relação ao Emotet, este malware está impactando 8% das organizações em todo o mundo, um ligeiro aumento em relação ao mês de abril. O Emotet é um malware ágil que se mostra lucrativo devido à sua capacidade de permanecer indetectável. Sua persistência também dificulta a remoção após a infecção de um dispositivo, tornando-o a ferramenta perfeita no arsenal de um cibercriminoso. Originalmente um cavalo de Troia bancário, é frequentemente distribuído por e-mails de phishing e tem a possibilidade de oferecer outros malwares, aumentando sua capacidade de causar danos generalizados.

Como é evidenciado pelas mais recentes campanhas do Snake Keylogger, tudo o que publicamos online coloca-nos em risco de um ciberataque, e abrir um arquivo PDF não é exceção. Vírus e códigos executáveis maliciosos podem se esconder em conteúdo multimídia e links com o ataque de malware, neste caso o Snake Keylogger, o qual está pronto para atacar assim que o usuário abrir um arquivo PDF, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. 

Portanto, assim como questionaríamos a legitimidade de um arquivo docx ou xlsx no anexo de um e-mail, devemos ter a mesma cautela em relação aos PDFs. No panorama atual, nunca foi tão importante às organizações ter uma solução robusta de segurança de e-mail que coloque em quarentena e inspecione anexos, evitando que arquivos maliciosos entrem na rede em primeiro lugar, reforça Maya.

Lista de setores e vulnerabilidades de maio

A CPR também revelou que, em maio, Educação e Pesquisa prosseguiu como primeiro na lista de setores mais atacados globalmente por cibercriminosos. A “Web Servers Malicious URL Directory Traversal” foi a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida (praticamente “colada”) pela “Apache Log4j Remote Code Execution” com igual impacto global de 46%. A “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade que ocupou o terceiro lugar no índice com um impacto global de 45%.

Principais famílias de malware

Em maio, o Emotet ainda foi o malware mais popular, afetando 8% das organizações em todo o mundo, seguido pelo Formbook que impactou 2% das organizações e o AgentTesla também com impacto de 2%, respectivamente em segundo e terceiro lugares.

Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

Quanto aos setores, em maio, Educação e Pesquisa continuou sendo o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking dos meses de março e abril.

1.Educação/Pesquisa

2.Governo/Militar

3.Internet Service Providers (ISP)/Managed Service Providers (MSP)

No Brasil, os três setores no ranking nacional mais visados em maio foram:

1.Integrador de Sistemas/VAR/Distribuidor 

2.Varejo/Atacado

3.Governo/Militar 

O setor de Educação/Pesquisa ficou em sexto lugar no ranking nacional.

Principais vulnerabilidades exploradas

Em maio, a equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal”  foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, com a “Apache Log4j Remote Code Execution” “coladinha” e em segundo lugar com impacto global também de 46%. A “Web Server Exposed Git Repository Information Disclosure” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

Principais malwares móveis

Em maio, os malwares móveis mantiveram-se nas mesmas posições do índice de abril: o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

2.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

3.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

Os principais malwares de maio no Brasil

O principal malware no Brasil em maio voltou a ser o Emotet, reassumindo a liderança com 23,55% de impacto das organizações. O Chaes desceu para o segundo lugar (6,88%) no ranking nacional; este  malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros. Em terceiro lugar apareceu o malware PseudoManuscrypt (3,75%), um spyware usado em campanhas de espionagem que ameaçam principalmente organizações governamentais e sistemas de controle industrial. Este spyware tem recursos avançados de espionagem, incluindo capturas de tela da vítima e coleta de credenciais de autenticação VPN.

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).

Portanto, fiquem atentos à lista de ataques de malware por e-mail com PDF. A lista global completa das dez principais famílias de malware em abril pode ser encontrada no Check Point Software Blog.