Emotet mantém-se como o malware mais prevalente

Cibersegurança e InfoSec Notícias

A Check Point Research, área de Threat Intelligence da Check Point, acaba de publicar o mais recente Índice Global de Ameaças referente a Fevereiro de 2022. Os investigadores reportam que o Emotet mantém-se como o malware mais prevalente, impactando 5% das organizações em todo o mundo, enquanto o Trickbot tem vindo a perder relevância, passando de segundo para sexto lugar no Índice de Ameaças.

O Trickbot é um botnet e trojan bancário que pode roubar detalhes financeiros, credenciais de contas, e informação de identificação pessoal, bem como espalhar lateralmente dentro de uma rede e albergar malware. Durante 2021, este apareceu no topo dos malwares mais prevalecentes durante 7 meses.

Ao longo das últimas semanas, a Check Point Research, notou a inexistência de novas campanhas de ataques Trickbot, levando a que agora este se posicione na sexta posição do Índice de Ameaças. A razão para tal pode estar a acontecer devido a alguns dos membros Trickbot se terem juntado ao grupo de ransomware Conti, como sugerido numa informação partilhada pelo grupo Conti.

Este último mês, o CPR testemunho os cibercriminosos a procurarem aproveitar-se do conflito Rússia-Ucrânia de modo a ludibriar pessoas para efetuarem o download de ficheiros maliciosos, e o malware mais prevalecente em Fevereiro foi o Emotet, que tem sido o veículo usado para o efeito, com e-mail que contém ficheiros maliciosos e títulos sugestivos: “Recall: Ukraine -Russia Military conflict: Welfare of our Ukrainian Crew member” (Alerta: conflito militar Ucrânia – Rússia: Assistência so membros das tropas ucranianas).

“Estamos a ver um variado número de malwares, incluindo o Emotet, a tirar proveito do interesse público à volta do conflito Rússia/Ucrânia, criando campanhas de e-mail com um título que engane as pessoas a fazer o download de ficheiros maliciosos. É importante confirmar sempre se o endereço de email do emissor é autêntico, validar se existem erros ortográficos nos e-mails e nunca abrir ficheiros que venham em anexo ou clicar em links a não ser que esteja totalmente certo que é um e-mail seguro e válido.” refere Maya Horowitz, VP Research na Check Point Software

O CPR revelou este mês que o sector de Educação e Investigação continua a ser o mais atacado a nível global, seguido do setor da Administração Pública/Indústria Militar e ISP/MSP.

A “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, impactando 46% das organizações globalmente, seguida da “Apache Log4j Remote Code Execution” que passou de primeira para segunda vulnerabilidade mais explorada e que ainda assim impacta 44% das organizações a nível mundial.

A terceira vulnerabilidade mais explorada é “HTTP Headers Remote Code Execution”, com um impacto global de 41%

Top famílias de malware

Este mês, o Emotet mantém-se como o malware mais perigoso do mundo, com um impacto de 5% das organizações do mundo. É seguido de perto pelo Formbook, com um impacto de 3%, e pelo Glupteba, com um impacto de 2%.

Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 6,04%. Seguem-se o Formbook, um infostealer que rouba credenciais e captura ecrãs, bem como regista as teclas usadas e que em Portugal impactou 3,64% das organizações; e o Crackonosh, um software de mineração de malware com um impacto de 3,23%.

  1. ↔  Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua detecção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
  1.  Formbook – Info Stealer que colecta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
  1. ↑ Crackonosh – é um minerador de malware que pode ser injectado em produtos de software populares que tenham sido atacados e disponibilizados em plataformas de hosting de software pirata. De modo a alargar a base de potenciais vítimas, os operadores desta ameaça disponibilizam videojogos. A partir do momento em que o Crackonosh é iniciado, irá substituir serviços essenicais do Windows. Esta ameaça vem também equipada com rotinas de anti-deteção e pode eliminar soluções de anti-malware do sistema comprometido.

Indústrias mais atacadas em Portugal:

Este mês, em contraciclo com a tendência global, o sector de Sistemas de Informação foi o mais atacado em Portugal, seguido pelo setor da Administração Pública/Indústria Militar.

  1. SI/VAR/Distribuidor
  2. Vendedor de Software
  3. Administração Pública/Indústria Militar

Indústrias mais atacadas na Europa:

A Educação/Investigação mantém-se como o sector mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militare, em terceiro lugar, a indústria das Comunicações.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. Comunicações

Indústrias mais atacadas no mundo:

A Educação/Investigação é o sector mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. ISP/MSP

Vulnerabilidades mais exploradas

A “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais comumente explorada, afectando 46% das organizações globalmente, seguida por “Apache Log4j Remote Code Execution” que afeta 44% das organizações em todo o mundo.

“HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.

1.      ↑ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.

2.       Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.

1.       HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. 

Principais malwares móveis

O xLoader fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo xHelper e AlienBot.

1.       XLoader – XLoader é um spyware para Android Spyware e um Trojan Bancário desenvolvido pelo Yanbian Gang, um grupo chinês de hackers. Este malware usa o método de DNS spoofing para distribuir apps Android infetadas para recolher informação pessoal e financeira.

2.       xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 

3.       AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.

Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.