O malware Trickbot, que em janeiro foi a terceira ameaça mais comum a nível global, ascende pela primeira vez ao topo da lista, em fevereiro de 2021, destronando o malware Emotet. Os dados são Índice Global de Ameaças elaborado pela empresa especializada em cibersegurança, Check Point Research.
Os investigadores da Check Point indicam que grupos de cibercriminosos continuam a utilizar outras ameaças, investindo na atualização das atividades maliciosas. Em fevereiro, o Trickbot foi distribuído através da disseminação de uma campanha de spam em que o objetivo era incitar os utilizadores dos setores jurídico e de seguros a fazer download de uma pasta com a extensão “.zip” com um ficheiro JavaScript que, depois de aberto, tentava instalar um outro payload malicioso a partir de um servidor remoto.
O Trickbot foi o quarto malware mais frequente a nível global durante o ano de 2020, com um impacto de 8%. Desempenhou um papel chave num dos mais falados e danosos ciberataques do ano passado, em que o objetivo foi a Universal Health Services (UHS), organização de cuidados de saúde nos Estados Unidos. A UHS, que foi atacada pelo ransomware Ryuk, indicou ter gasto, em custos e receitas perdidas, mais de 67 milhões de dólares. O Trickbot foi utilizado pelos atacantes para identificar e recolher os dados dos sistemas da organização, e posteriormente entregues ao payload de ransomware.
“Os criminosos continuarão a utilizar todas as ameaças e ferramentas que tiverem disponíveis, e o Trickbot é popular devido à sua versatilidade e histórico de sucesso,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point.
“Como já suspeitávamos, mesmo quando uma grande ameaça é removida, há muitas outras que continuam a representar um grande risco para as organizações a nível global. Daí a importância de contar com sistemas de segurança robustos que protejam as redes corporativas e minimizem os riscos. Formação extensiva dos colaboradores é outro dos aspetos cruciais, para que estes tenham a capacidade de identificar o tipo de emails maliciosos que disseminam o Trickbot ou qualquer outro malware,” acrescenta a responsável.
A Check Point Research alerta ainda para a “Web Server Exposed Git Repository Information Disclosure”, a vulnerabilidade mais explorada globalmente, com um impacto de 48% das organizações, seguida da “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 46% das organizações de todo o mundo. Em terceiro lugar, a “MVPower DVR Remote Code Execution”, com um impacto de 45%.
Top de famílias malware de fevereiro
Em fevereiro, o Trickbot foi o malware mais popular a nível global, com um impacto de 3% das organizações, seguido de perto pelo XMRig e Qbot, cada um com um impacto que rondou, igualmente, os 3%. Em Portugal, o cenário foi um pouco diferente. Em primeiro lugar, esteve o Qbot, com um impacto de 8% das organizações nacionais. Seguiu-se o XMRig, responsável por impactar 6% das organizações portuguesas e, na terceira posição, o Dridex, com um impacto de 4%.
- ↑ Trickbot – O Trickbot é um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
- ↑ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
- ↑ Qbot – O Qbot é um trojan bancário detetado pela primeira vez em 2008 e criado com o objetivo de roubar credenciais bancárias e registos de teclas digitadas. Distribuído regularmente via email, o Qbot utiliza várias técnicas anti-VM, anti-debugging e anti-sandbox, úteis para evitar deteção e análise.
Top de vulnerabilidades exploradas
Em fevereiro, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 48% das organizações, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 46% das organizações a nível mundial e do “MVPower DVR Remote Code Execution”, com um impacto de 45%.
- ↑ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
- ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
Top de famílias malware em dispositivos móveis
Este mês, o Hiddad está na primeira posição como o malware móvel mais comum, seguido do xHelper e o Furball.
- Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
- xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
- FurBall – O FurBall é um MRAT (Mobile Remote Access Trojan) para Android, disseminado pelo APT-C-50, um grupo iraniano APT ligado ao governo do Irão. Foi utilizado em múltiplas campanhas datadas de 2017, estando ativo ainda hoje. As capacidades do FurBall incluem o roubo de mensagens SMS, registos telefónicos, gravação de ambiente e de chamadas, roubo de ficheiros media, acesso a localização e muito mais.
O Índice de Impacto Global de Ameaças da Check Point baseia a informação no ThreatCloud da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.