No Índice Global de Ameaças referente ao mês de julho de 2021, elaborado pela Check Point Research, os pesquisadores relataram que o Trickbot, frequentemente usado nos estágios iniciais de ataques de ransomware, ainda é o malware mais comum mantendo-se na liderança da lista pelo terceiro mês consecutivo. Já o malware Snake Keylogger, que foi detectado pela primeira vez em novembro de 2020, subiu para o segundo lugar após uma intensa campanha de e-mails de phishing.
CONTEÚDO RELACIONADO – Pesquisa da IDC revela que mais de um terço das organizações em todo o mundo sofreram um ataque ou violação de ransomware
O Snake Keylogger é um programa que registra ou grava tudo o que uma pessoa digita em teclados; é do tipo spyware; e é utilizado quase sempre para capturar senhas, dados bancários, informações sobre cartões de crédito e outros tipos de dados pessoais. Por ser um keylogger modular .NET e ladrão de credenciais, sua função principal é registrar as teclas digitadas pelos usuários em computadores ou dispositivos móveis e transmitir os dados coletados aos atacantes. Nas últimas semanas, o Snake Keylogger cresceu rapidamente por meio de campanhas maliciosas de e-mails de phishing com diferentes temas disseminados em todos os países e os setores de negócios.
As infecções Snake representam uma grande ameaça à privacidade dos usuários e à segurança online, pois o malware pode roubar praticamente todos os tipos de informações confidenciais e é um keylogger particularmente evasivo e persistente. Existem atualmente fóruns de hackers clandestinos em que o Snake Keylogger está disponível para compra, cujo valor varia de US$ 25 a US$ 500, dependendo do nível de serviço oferecido.
Os ataques do keylogger podem ser particularmente perigosos porque as pessoas tendem a usar a mesma senha e nome de usuário para contas diferentes e, uma vez que uma credencial de login é violada, o cibercriminoso obtém acesso a todos aqueles que têm a mesma senha. Para impedi-los, é essencial usar uma opção única e diferente para cada um dos diversos perfis. Para isso, pode-se utilizar um gerenciador de senhas para administrar e gerar diferentes combinações fortes de acesso para cada serviço com base nas diretrizes definidas.
“Sempre que possível, os usuários devem reduzir a dependência apenas de senhas, por exemplo, implementando tecnologias de autenticação de múltiplos fatores (Multi-Factor Authentication, MFA) ou de login único (Single-Sign on, SSO)”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Além disso, quando se trata de políticas de senha, escolher uma senha forte e exclusiva para cada serviço é o melhor conselho, pois, mesmo que os bandidos consigam uma de suas senhas, isso não lhes dará acesso imediato a vários sites e serviços. Os keyloggers, como o Snake, são frequentemente distribuídos por meio de e-mails de phishing, sendo essencial que os usuários saibam olhar para pequenas discrepâncias, como erros de ortografia em links e endereços de e-mail, e sejam treinados para nunca clicar em links suspeitos ou abrir qualquer anexo desconhecido. ”
A CPR também revelou que, em julho, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais comum explorada, impactando 45% das organizações globalmente, seguida por “HTTP Headers Remote Code Execution” que afetou 44% das organizações em todo o mundo . A “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em julho, o Trickbot foi o malware mais popular com um impacto global de 4% das organizações, seguido por Snake Keylogger e XMRig, sendo que cada um afetou 3% das organizações em todo o mundo.
↔ Trickbot – É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
↑ Snake Keylogger – O Snake é um keylogger modular .NET e ladrão de credenciais, identificado pela primeira vez no final de novembro de 2020; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados aos atacantes.
↓ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais vulnerabilidades exploradas
Em julho, a equipe da Check Point Research também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 45% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution”, que impactou 44% das organizações no mundo todo. A vulnerabilidade “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
↑ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em julho, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e Hiddad.
- xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
- AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
- Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de julho no Brasil
O principal malware no Brasil em julho de 2021 foi o Crackonosh que aparece pela primeira vez na lista do país com 5,33% de impacto nas organizações. O Crackonosh é um malware minerador que foi injetado em produtos de software populares e disponibilizados em plataformas de distribuição conhecidas por hospedar software pirateado. Para abrir um grande número de vítimas em potencial, os atacantes usam videogames invadidos. Assim que o Crackonosh for iniciado, ele substituirá os serviços essenciais do Windows. A ameaça também é equipada com rotinas antidetecção e pode excluir soluções antimalware do sistema comprometido.
Os malwares XMRig (5,33%, mesmo índice do Crackonosh) e Trickbot (4,82%) ocupam segundo e o terceiro lugar, respectivamente, na lista brasileira. Enquanto o Snake Keylogger está posicionado no quinto lugar (3,53%).
O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.