
No Brasil, ataques com o Qbot chegaram a atingir quase o triplo do impacto global
O Índice Global de Ameaças referente ao mês de agosto de 2023 da Check Point Research (CPR) ainda mostra a força do Qbot, mesmo com o FBI tendo realizado uma operação para neutralização da ciberameaça. O Qbot ainda foi o principal malware pelo nono mês consecutivo na liderança, com impacto em 14,34% das empresas brasileiras, um índice que é quase o triplo do impacto global (5,34%). No Brasil, o ranking ainda mostra o Fakeupdates em segundo lugar, com impacto de 4,08%, enquanto o NJRat ficou em terceiro lugar com impacto de 2,68%.
Em agosto, o FBI anunciou uma vitória significativa na sua operação global contra o malware Qbot. Na “Operação Duck Hunt”, o FBI assumiu o controle desse botnet, removeu o malware dos dispositivos infectados e identificou um número substancial de dispositivos afetados.
O Qbot havia se tornado um serviço de entrega de malware usado para diversas atividades cibercriminosas, incluindo ataques de ransomware. Normalmente se espalha por meio de campanhas de phishing e colabora com outros atores de ameaças. Embora tenha permanecido o malware mais prevalente em agosto, a Check Point Software observou uma diminuição significativa no seu impacto após a operação em nível global. No entanto, no caso do Brasil, o índice de impacto em agosto foi quase três vezes maior que o porcentual global.
Principais famílias de malware
Em agosto passado, o Qbot foi o malware mais difundido no mês com um impacto de mais de 5% das organizações em todo o mundo, seguido pelo Formbook com impacto global de 4% e o Fakeupdates com 3%.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.
↔ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↑ Fakeupdates – Fakeupdates (AKA SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. Fakeupdates leva ao comprometimento adicional de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Quanto aos setores, em agosto, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar. No Brasil, os três setores no ranking nacional mais visados por ciberataques em agosto foram Governo/Militar, Transportes e Utilities.
Principais vulnerabilidades exploradas
Em agosto, a equipe da CPR também revelou que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 40% das organizações no mundo, seguida pela “Command Injection Over HTTP”, ocupando o segundo lugar com impacto global de 38% das organizações. A “MVPower CCTV DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 35%.
↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) – Existe uma vulnerabilidade de execução remota de código no MVPower CCTV DVR. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse código arbitrário no sistema afetado.
Principais malwares móveis
Em agosto, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e SpinOk.
1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
3.SpinOk é um módulo de software Android que opera como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e é capaz de transferi-los para agentes de ameaças maliciosas. O módulo malicioso foi encontrado em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.