Check Point divulga ranking de malwares

A Check Point Research divulga seu Índice Global de Ameaças referente ao mês de julho de 2023. No mês passado, os pesquisadores verificaram que o malware Remcos passou para o terceiro lugar depois que os agentes de ameaças criaram sites falsos para disseminar downloaders maliciosos que carregavam este Remote Access Trojan (RAT). Enquanto isso, o cavalo de Troia bancário móvel Anubis derrubou o recém-chegado SpinOk do primeiro lugar na lista de malware móvel, e Educação/Pesquisa seguiu como o setor mais atacado no mundo.

O Remcos é um cavalo de Troia de acesso remoto (RAT) visto pela primeira vez em 2016 e é distribuído regularmente por meio de documentos ou de downloads maliciosos da Microsoft. Foi observado mais recentemente em uma campanha envolvendo o malware Fruity. O objetivo era atrair as vítimas para baixar o Fruity, pois ele acaba instalando diferentes RATs como o Remcos; e é conhecido por sua capacidade de obter acesso remoto ao sistema da vítima, roubar informações e credenciais confidenciais e realizar atividades maliciosas no computador do usuário.

"Esta época do ano é perfeita para os cibercriminosos. Embora muitos aproveitem a temporada de férias no hemisfério norte, as organizações precisam lidar com níveis reduzidos ou alterados de pessoal, o que pode afetar sua capacidade de monitorar ameaças e minimizar riscos", diz Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “A introdução de processos de segurança automatizados e consolidados pode ajudar as empresas a manterem boas práticas durante os períodos de férias, além de uma boa educação e conscientização do usuário.”

Roubo de credenciais recorrente e persistente

No entanto, a liderança das listas mensais de top malware global e do Brasil continua pertencendo ao cavalo de Troia multifuncional Qbot, o qual persiste como o malware mais prevalente no Brasil desde o final do ano passado. O malware Qbot, que rouba credenciais bancárias e digitação de teclado, é líder na lista nacional há oito meses seguidos e mantém o alto impacto nas organizações no Brasil com índices de 12,73% em julho, 14,74% em junho, de 13,94% em maio, 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro e de 16,58% em dezembro de 2022. São todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos números globais.

Vale lembrar que o Qbot, que surgiu inicialmente em 2008 como um trojan bancário, passou por um desenvolvimento consistente, adquirindo funcionalidades adicionais com o objetivo de roubar senhas, e-mails e detalhes de cartão de crédito.

É comumente propagado por e-mails de spam e emprega várias técnicas, como métodos Anti-Virtual Machines (anti-VM), anti-debug e anti-sandbox para impedir a análise e evitar a detecção. Atualmente, sua função principal é atuar como um carregador para outros malwares e estabelecer uma presença nas organizações visadas, servindo como um trampolim para os operadores de grupos de ransomware.

 A equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada em julho, impactando 49% das organizações em todo o mundo, seguida pela “Apache Log4j Remote Code Execution” com 45% e pela “HTTP Headers Remote Code Execution”, com impacto global de 42% nas organizações.

 

Principais famílias de malware

Em julho passado, o Qbot foi o malware mais difundido no mês com um impacto de mais de 5% das organizações em todo o mundo, seguido pelo Formbook com impacto global de 4% e o Remcos com 2%.

Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.

Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

Remcos - É um RAT que apareceu pela primeira vez em 2016. Remcos se distribui por meio de documentos maliciosos do Microsoft Office, que são anexados a e-mails de SPAM e foi projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

 

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em julho, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde. Estes setores se mantêm nessas posições há três meses consecutivos.

 

1.Educação/Pesquisa

2.Governo/Militar

3.Saúde

 

No Brasil, os três setores no ranking nacional mais visados por ciberataques em julho foram:

1.Utilities

2.Transportes

3.SI/VAR/Distribuidores

 

 

Principais malwares móveis

Em julho, o Anubis subiu para o primeiro lugar como o malware móvel mais difundido, seguido por SpinOk e AhMyth.

1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

2.SpinOk é um módulo de software Android que opera como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e é capaz de transferi-los para agentes de ameaças maliciosas. O módulo malicioso foi encontrado em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.

3.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.