A Check Point, empresa especializada em soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente ao mês de setembro de 2021. Os investigadores reportam que o Trickbot regressou ao topo da lista de pois de ter caído para o segundo lugar em agosto, após um reinado de três meses. Em Portugal, o trojan bancário ocupa o terceiro lugar, sendo ultrapassado apenas pelo XMRig, em segundo, e o AgentTesla, no topo da lista.
O trojan de acesso remoto, njRAT, entrou no top 10 global pela primeira vez, tomando o lugar do Phorpiex, que deixou de está ativo. O Trickbot é um trojan bancário capaz de roubar detalhes financeiros, credenciais de conta e informação pessoalmente identificável, bem como disseminar-se numa rede, infetando-a com ransomware. Desde o derrube do Emotet, em janeiro, o trojan Trickbot ganhou popularidade. Está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição que o tornam um malware flexível e personalizável que pode ser distribuído em campanhas com múltiplos propósitos.
“No mesmo mês que o Trickbot se torna o malware mais prevalente, sabe-se que um dos membros do gang do Trickbot foi detido, fruto de uma investigação das autoridades norte-americanas,” afirma Maya Horowitz, VP Research da Check Point Software. “A juntar a outras acusações apresentadas este ano na luta contra o trojan, temos esperança de que o domínio deste grupo seja abalado em breve. Como sempre, há um longo caminho por percorrer. Esta semana, os nossos investigadores reportaram que, a nível global, o número de ataques semanais contra organizações aumentou 40% de 2020 para 2021. A verdade é que a maioria destes, se não todos, poderiam ter sido evitados. Quando o tema é cibersegurança, as organizações não devem adiar a adoção de uma abordagem preventiva.”
Os investigadores da Check Point revelaram que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada este mês, com um impacto de 44% das organizações no mundo. Seguiu-se a “Command Injection Over HTTP”, responsável por impactar 43% das organizações a nível global. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, vulnerabilidade com um impacto global de 43%.
Top de famílias malware de setembro
Este mês, o Trickbot foi o malware mais popular, com um impacto em 4% das organizações a nível mundial. Seguiram-se o Formbook e o XMRig, com um impacto de 3% cada.
Em Portugal, a lista alterou-se ligeiramente, com o Agent Tesla, trojan de acesso remoto que funciona como keylogger e rouba palavras-passe, a tomar o primeiro lugar, com um impacto nacional de 6%. Em segundo lugar, o XMRig, com um impacto de 5% das empresas portuguesas e, em terceiro, o Trickbot, com um impacto nacional também de 5%.
- ↑ Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
- ↓ Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
- ↑ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
(As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior )
Top de vulnerabilidades exploradas
Em setembro, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 44% das organizações, seguido da “Command Injection Over HTTP”, responsável por impactar 43% das organizações a nível mundial. A vulnerabilidade “HTTP Headers Remote Code Execution” ocupa o terceiro lugar, com um impacto global de 43%.
- ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
- ↑ Command Injection Over HTTP – Foi identificada uma injecção de comando sobre a vulnerabilidade HTTP. Um atacante remoto pode explorar esta questão enviando um pedido personalizado para a vítima. Uma exploração bem sucedida permitiria ao atacante executar um código arbitrário no dispositivo alvo.
- ↓ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.
Top Mobile Malwares
Este mês, em primeiro lugar mantém-se o xHelper. Segue-se o AlienBot e o Flubot.
- xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
- AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
- FluBot – Botnet para Android distribuído via mensagens SMS de phishing, que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.
O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.