Surgimento de malware baseado em IA impacta plataforma Windows

By Ariadni Stangherlin Mamede15 de outubro de 202412 Mins Read

O recente índice de ameaças da Check Point Software enfatiza mudança para táticas de malware baseadas em IA no cenário cibernético atual e também ameaças no RansomHub

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente a setembro de 2024.

O relatório destaca uma tendência interessante no cenário da segurança cibernética, particularmente o surgimento de malware baseado em inteligência artificial (IA) com o domínio contínuo de ameaças de ransomware.

No mês passado, pesquisadores descobriram que atores de ameaça provavelmente usaram IA para desenvolver um script que distribui o malware AsyncRAT, o qual ocupa atualmente o 10º lugar na lista dos malwares mais prevalentes.

O método envolveu “HTML smuggling”, em que um arquivo ZIP protegido por senha, contendo código malicioso em VBScript, foi enviado para iniciar uma cadeia de infecção no dispositivo da vítima. O código bem estruturado e comentado sugeriu a participação da IA.

Uma vez totalmente executado, o AsyncRAT é instalado, permitindo que o atacante registre as teclas digitadas, que controle remotamente o dispositivo infectado e implemente malwares adicionais. Essa descoberta destaca uma tendência crescente de cibercriminosos com habilidades técnicas limitadas usando IA para criar malwares de forma mais fácil.

“O fato de que atacantes começaram a utilizar IA generativa como parte de sua infraestrutura de ataque destaca a evolução contínua das táticas de ciberataque. Os cibercriminosos estão cada vez mais aproveitando as tecnologias disponíveis para aprimorar suas operações, tornando essencial que as organizações implementem estratégias de segurança proativas, incluindo métodos avançados de prevenção e treinamento abrangente para suas equipes“, afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software.

Em relação a dispositivos móveis e ransomware, em setembro, o Joker continua sendo o malware móvel mais prevalente, enquanto o RansomHub segue como o grupo líder de ransomware. Ambas as ameaças mantêm suas posições do mês de agosto. Essas descobertas destacam as ameaças persistentes representadas por essas entidades maliciosas no cenário global de segurança cibernética em evolução.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

O FakeUpdates manteve sua liderança na lista global de malware em setembro de 2024 com um impacto de 7% nas organizações mundiais, seguido pelo Androxgh0st com um impacto global de 6% e do Formbook com um impacto global de 4%.

O AgentTesla permanece na liderança do ranking de top malware do Brasil em setembro com impacto elevado: em setembro registrou índice próximo a 39%; seguido pelo Qbot com impacto de quase 12%.

Top 10 Malware Global

↔ FakeUpdates – FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↔ Androxgh0st – Androxgh0st é um botnet direcionado às plataformas Windows, Mac e Linux. Para a infecção inicial, o Androxgh0st explora múltiplas vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações confidenciais, como dados da conta Twilio, credenciais SMTP, chave AWS, entre outros. Ele usa arquivos Laravel para coletar as informações necessárias. Possui diferentes variantes que procuram informações diferentes.
↑ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↔ Qbot – Qbot, também conhecido como Qakbot, é um malware multifuncional que apareceu pela primeira vez em 2008. Ele foi projetado para roubar credenciais de usuários, registrar teclas digitadas, roubar cookies de navegadores, espionar atividades bancárias e implantar malwares adicionais. Frequentemente distribuído via e-mail de spam, o Qbot emprega várias técnicas de anti-VM, anti-debugging e anti-sandbox para dificultar a análise e evitar a detecção. A partir de 2022, ele emergiu como um dos trojans mais prevalentes.
↔ AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e “ladrão de informações”, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais de uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
↓ Phorpiex – Phorpiex é uma botnet conhecida por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de “sextorsão” em larga escala.
↑ Vidar – Vidar é um malware ladrão de informações que opera como um Malware-as-a-Service (MaaS) e foi descoberto pela primeira vez em ambientes reais no final de 2018. O malware roda no Windows e pode coletar uma ampla gama de dados sensíveis de navegadores e carteiras digitais. Além disso, o malware é utilizado como um downloader para ransomware.
↑ NJRat – NJRat é um trojan de acesso remoto (RAT), que visa principalmente agências governamentais e organizações no Oriente Médio. O trojan surgiu pela primeira vez em 2012 e possui múltiplas capacidades: captura de teclas digitadas, acesso à câmera da vítima, roubo de credenciais armazenadas em navegadores, upload e download de arquivos, manipulação de processos e arquivos, e visualização da área de trabalho da vítima. O NJRat infecta vítimas por meio de ataques de phishing e downloads automáticos, e se propaga através de pen drives infectados ou unidades em rede, com o suporte de software de servidor de Comando e Controle.
↑ Glupteba – Conhecido desde 2011, Glupteba é uma porta dos fundos que gradualmente se desenvolveu em uma botnet. Até 2019, incluía um mecanismo de atualização de endereço de C&C por meio de listas públicas de BitCoin, uma capacidade integral de roubo de navegador e um explorador de roteadores.
↑ AsyncRat – AsyncRat é um Trojan que visa a plataforma Windows. Esse malware envia informações do sistema sobre o sistema-alvo para um servidor remoto. Ele recebe comandos do servidor para baixar e executar plugins, encerrar processos, desinstalar/atualizar a si mesmo e capturar capturas de tela do sistema infectado.

Mais detalhes sobre a lista global das principais famílias de malware em setembro de 2024 pode ser encontrada no blog da Check Point Software.

Principais vulnerabilidades exploradas em setembro

Top 3 global

↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.

Principais malwares móveis em setembro

↔ Joker – É um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações de dispositivos. Além disso, o malware contrata a vítima silenciosamente para serviços premium em sites de publicidade.

↔ Anubis – O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

↑ Hiddad – O Hiddad é um malware para Android que reembala aplicativos legítimos e depois as lança numa loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operacional.

Principais setores atacados no mundo e no Brasil

Em setembro de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e por Saúde. Estes setores seguem na mesma posição do ranking de agosto.

1. Educação/Pesquisa

2. Governo/Forças Armadas

3. Saúde

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de setembro foram:

1. Comunicações

2. Governo/Forças Armadas

3. Saúde

Principais grupos de ransomware

Esta seção apresenta informações derivadas de quase 200 “sites de vergonha” de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.

Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.

Em setembro, o RansomHub prosseguiu como o grupo de ransomware mais prevalente responsável por 17% dos ataques publicados, seguido pelo Play com 10% com o Qilin indicando 5% dos ataques.

1. RansomHub – RansomHub é uma operação Ransomware-as-a-Service (RaaS) que surgiu como uma versão renomeada do anteriormente conhecido ransomware Knight. Aparecendo com destaque no início de 2024 em fóruns clandestinos de crimes cibernéticos, o RansomHub rapidamente ganhou notoriedade por suas campanhas agressivas direcionadas a vários sistemas, incluindo Windows, macOS, Linux e, particularmente, ambientes VMware ESXi. Este malware é conhecido por empregar métodos de criptografia sofisticados.

2. Play – Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia. Play Ransomware, também conhecido como PlayCrypt, é um ransomware que surgiu pela primeira vez em junho de 2022. Esse ransomware tem como alvo uma ampla gama de empresas e infraestrutura crítica na América do Norte, América do Sul e Europa, afetando aproximadamente 300 entidades até outubro de 2023. O Play Ransomware geralmente obtém acesso às redes por meio de contas válidas comprometidas ou explorando vulnerabilidades não corrigidas, como aquelas em VPNs SSL da Fortinet. Uma vez dentro, ele utiliza técnicas como o uso de binários de living-off-the-land (LOLBins) para tarefas como exfiltração de dados e roubo de credenciais.

3. Qilin – Qilin, também conhecido como Agenda, é uma operação criminosa de Ransomware-as-a-Service (RaaS) que colabora com afiliados para criptografar e exfiltrar dados de organizações comprometidas, exigindo, em seguida, um resgate. Essa variante de ransomware foi detectada pela primeira vez em julho de 2022 e é desenvolvida em Golang. A Agenda é conhecida por direcionar grandes empresas e organizações de alto valor, com um foco particular nos setores de saúde e educação. O Qilin geralmente infiltra as vítimas por meio de e-mails de phishing contendo links maliciosos para estabelecer acesso às suas redes e exfiltrar informações sensíveis. Uma vez dentro, o Qilin normalmente se move lateralmente pela infraestrutura da vítima, buscando dados críticos para criptografar.

Os principais malwares de setembro no Brasil

No mês passado, o ranking de ameaças do Brasil prossegue com o AgentTesla na liderança da lista nacional com impacto de 38,21% (desde junho é líder no país).

O segundo malware que mais impactou no Brasil em setembro passado voltou a ser o Qbot com impacto de 11,48% às organizações no país, e o FakeUpdates ocupou o terceiro lugar cujo impacto foi de 8,46%.

O AgentTesla é um malware que pode roubar informações confidenciais dos computadores de uma organização, como dados, senhas e outras credenciais.

O AgentTesla pode funcionar como um keylogger e dar acesso remoto aos cibercriminosos; está ativo desde 2014 monitorando e coletando entradas de teclado e a área de transferência do sistema da vítima.

Este malware também pode gravar capturas de tela e exfiltrar credenciais inseridas para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido abertamente como um trojan de acesso remoto (RAT) legítimo com clientes pagando de US$ 15 a US$ 69 por licenças de usuário.

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd é um dos principais provedores de segurança cibernética com uma plataforma baseada em nuvem e alimentada por IA, protegendo mais de 100.000 organizações em todo o mundo. A Check Point Software aproveita o poder da IA em todos os níveis para aumentar a eficiência e a precisão da segurança cibernética por meio de sua Plataforma Infinity, com taxas de detecção líderes do setor que permitem a antecipação proativa de ameaças e tempos de respostas mais inteligentes e rápidos. A plataforma abrangente inclui soluções fornecidas pela nuvem compostas por Check Point Harmony para proteger o ambiente de trabalho, Check Point CloudGuard para proteger a nuvem, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativa.

5.000 e-mails falsos imitando a Microsoft colocam funcionários e empresas em alto risco

Descoberto o primeiro aplicativo falso para drenagem de criptomoedas em dispositivos móveis

Fique seguro neste Amazon Prime Day: Check Point Software identifica aumento de ataques de phishing e e-mails de golpes

Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!

Compartilhe:

Cibersegurança

ÚLTIMAS NOTÍCIAS

Carreiras

Dahua Technology apresenta o Seminário Educatech no Brasil

By Ariadni Stangherlin Mamede16 de novembro de 2024

Como CIOs estão otimizando o poder da IA. Por Marta Sanchez

15 de novembro de 2024

Inovação em monitoramento revoluciona segurança e performance na Porsche Cup

15 de novembro de 2024

Gartner anuncia as principais previsões para empresas e usuários de TI para 2025 e os próximos anos

15 de novembro de 2024

Proteção de dados, conformidade jurídica e experiência do cliente: Webinar Gratuito com especialistas sobre desafios do setor financeiro para 2025

14 de novembro de 2024

Segurança em Alta: Uma Conversa com o CIO do RIOgaleão sobre os Desafios do Fim de Ano

14 de novembro de 2024

A Internet das Coisas e a transformação digital cada vez mais presente

14 de novembro de 2024

Proteger infraestruturas críticas nunca foi tão urgente. Por Sergio Muniz

14 de novembro de 2024

Receba novidades

Cadastre-se em nossa newsletter e fique ligado em tudo que acontece no Crypto ID.

Eventos

novembro, 2024

Filtrar eventos

Ordenar por:

Data

Título

Cor

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

12nov(nov 12)08:0013(nov 13)18:006G Briefing 2024moldando o futuro da Conectividade08:00 - 18:00 (13) MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULO, Av. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Mais

Detalhes do evento

Shaping the future Connectivity

O 6G Briefing é uma importante conferência de tecnologia empresarial de dois dias, projetada para unir a vanguarda do setor empresarial, academia, organizações de padronização e startups inovadoras.

O “6G Briefing” não é apenas um evento; é um fórum para iniciar diálogos, firmar parcerias e preparar o cenário para a implantação global do 6G .

Os participantes terão insights inigualáveis sobre as tecnologias, políticas e estratégias que definirão o futuro da comunicação sem fio.

Este evento acontece em São Paulo, Brasil, uma das maiores e mais inovadoras cidades da América Latina. Com um PIB rico e status como um centro de negócios, São Paulo é o local perfeito para discutir o futuro das redes 6G, que devem revolucionar a conectividade até 2030.

SESSÕES E PAINÉIS

O programa abrangente incluirá painéis industriais, governamentais e acadêmicos, apresentando insights e previsões sobre o futuro dos esforços de pesquisa e desenvolvimento (P&D) e padronização do 6G.

Os participantes terão a oportunidade de explorar uma variedade de tópicos

INOVAÇÕES E DESAFIOS NA TECNOLOGIA 6G

ALOCAÇÃO E AQUISIÇÃO DE ESPECTRO
Navegando pelos desafios e estratégias para o uso ideal do espectro.

COMPUTAÇÃO EM NUVEM E EDGE
Revelando a sinergia entre os paradigmas 6G e de computação descentralizada.

IA E APRENDIZADO DE MÁQUINA
Aproveitando a IA para melhorar a eficiência e os recursos da rede

NOVOS MATERIAIS
Inovações na ciência dos materiais que podem revolucionar o hardware de rede

SATÉLITES
O papel da tecnologia de satélite na extensão do alcance e da resiliência das redes 6G

FATIAMENTO DE REDE E SERVIÇOS CRÍTICOS
Personalização de redes para atender às demandas de diversas aplicações.

O FUTURO DA PRIVACIDADE E DA SEGURANÇA DE DADOS
Garantindo proteção robusta na era hiperconectada do 6G

INFRAESTRUTURA DE REDE
Avanços arquitetônicos para dar suporte a recursos 6G

COMPUTAÇÃO QUÂNTICA
Explorando o impacto das tecnologias quânticas na comunicação sem fio

CASOS DE USO 6G
Imaginando as aplicações e serviços habilitados pela tecnologia 6G

MÍDIA E TRANSMISSÃO
Esta sessão explorará o futuro da preservação de arquivos de mídia e filmes

ÉTICA E ODS NO MUNDO 6G
Abordando as considerações éticas e os objetivos de sustentabilidade no contexto 6G

OBJETIVOS

O objetivo principal do 6G Briefing é dar início às discussões do roteiro para padronização futura em linha com as iniciativas de 2024 da International Telecommunication Union (ITU). Esta conferência tem como objetivo:

Promova conexões entre líderes do setor, executivos de nível C, pesquisadores acadêmicos renomados, organizações governamentais e startups inovadoras.
Incentive discussões aprofundadas sobre tópicos acadêmicos e empresariais atuais relacionados ao desenvolvimento do 6G.
Destaque as últimas pesquisas e desenvolvimentos, esforços de padronização e possíveis casos de uso para a tecnologia 6G.

PRÉ INSCRIÇÃO

compra de ingressos

QUEM ESTARÁ LÁ

– Líderes do setor e executivos de nível C: visionários na vanguarda dos avanços da tecnologia sem fio.

– Pesquisadores acadêmicos renomados: as mentes que moldam os fundamentos teóricos do 6G.

– VPs, diretores, engenheiros e arquitetos: aqueles que estão orquestrando a transição para redes de última geração.

– Organizações governamentais e pesquisadores: formuladores de políticas e pensadores que influenciam a direção regulatória e da pesquisa.

– Instituições de pesquisa: Centros de inovação e descoberta na área de comunicações sem fio.

Compartilhe:

Hora

12 (Terça) 08:00 - 13 (Quarta) 18:00

Localização

MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULO

Av. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Organizador

Hansecom

MIS - MUSEU DA IMAGEM E DO SOM - SÃO PAULOAv. Europa, 158 - Jardim Europa, São Paulo - SP, 01449-000

Calendário GoogleCal

Surgimento de malware baseado em IA impacta plataforma Windows

Principais famílias de malware

Top 10 Malware Global

Top 3 global

Principais malwares móveis em setembro

Principais setores atacados no mundo e no Brasil

Principais grupos de ransomware

Os principais malwares de setembro no Brasil

ÚLTIMAS NOTÍCIAS

Receba novidades

Eventos

Detalhes do evento

Detalhes do evento

Shaping the future Connectivity

SESSÕES E PAINÉIS

INOVAÇÕES E DESAFIOS NA TECNOLOGIA 6G

OBJETIVOS

QUEM ESTARÁ LÁ

Hora

Localização

Organizador

CADASTRE-SE EM NOSSA NEWSLETTER