Após um aumento nos casos de brandjacking e o lançamento de uma grande campanha de phishing de malware njRAT no Oriente Médio
A Check Point Research relata que o Infostealer Vidar voltou à lista dos dez primeiros malwares em janeiro, ocupando o sétimo lugar, enquanto uma grande campanha denominada Earth Bogle dissemina o njRAT a alvos no Oriente Médio e norte da África; no Brasil, o Qbot segue predominando e o Vidar está em quarto lugar na lista.
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de janeiro de 2023.
No mês passado, o Infostealer Vidar voltou à lista dos dez primeiros em sétimo lugar, após um aumento nos casos de brandjacking (junção das palavras “marca” e “hijacking”) e o lançamento de uma grande campanha de phishing de malware njRAT no Oriente Médio e no norte da África.
Em janeiro, o Infostealer Vidar foi visto sendo disseminado por meio de domínios falsos alegando estar associado à empresa de software de desktop remoto AnyDesk.
O malware usou o roubo de URL para vários aplicativos populares para redirecionar as pessoas para um único endereço IP que afirmava ser o site oficial do AnyDesk.
Depois de baixado, o malware se disfarçou como um instalador legítimo para roubar informações confidenciais, como credenciais de login, senhas, dados da carteira de criptomoedas e detalhes bancários.
Os pesquisadores também identificaram uma grande campanha apelidada de Earth Bogle, direcionando o malware njRAT a alvos em todo o Oriente Médio e no norte da África. Os atacantes usaram e-mails de phishing contendo temas geopolíticos, induzindo os usuários a abrir anexos maliciosos.
Depois de baixado e aberto, o cavalo de Troia pode infectar os dispositivos, permitindo que os atacantes realizem inúmeras atividades intrusivas para roubar informações confidenciais. O njRAT ocupou o décimo lugar na lista global dos principais malwares, tendo caído de posição após setembro de 2022.
“Mais uma vez, vemos grupos de malware usarem marcas confiáveis para espalhar vírus, com o objetivo de roubar informações pessoais identificáveis. Não posso deixar de enfatizar o quanto é importante que as pessoas prestem atenção aos links em que estão clicando para garantir que sejam URLs legítimas. Fiquem atentos ao cadeado de segurança, que indica um certificado SSL atualizado, e observem qualquer erro de digitação oculto que possa sugerir que o site é malicioso”, ressalta Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
No Brasil, o malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, liderou a lista nacional pelo segundo mês consecutivo, mantendo alto impacto nas organizações no país – de 16,58% em dezembro de 2022 e 16,44% em janeiro de 2023 -; em ambos os meses, os índices foram de praticamente o dobro em relação àqueles globais.
A equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” permaneceu como a vulnerabilidade mais explorada em janeiro, impactando 46% das organizações em todo o mundo, seguida pela “HTTP Headers Remote Code Execution”, com um impacto de 42%; a “MVPower DVR Remote Code Execution” foi a terceira vulnerabilidade mais usada, com um impacto global de 39%.
Principais famílias de malware
As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em janeiro passado, o Qbot e o Lokibot foram os malwares mais difundidos no mês, impactando mais de 6% das organizações em todo o mundo respectivamente, seguidos por AgentTesla com impacto global de 5%.
↑ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.
↑ Lokibot – LokiBot é um infostealer de commodities com versões para os sistemas operacionais Windows e Android identificadas pela primeira vez em fevereiro de 2016. Ele coleta credenciais de vários aplicativos, navegadores da Web, clientes de e-mail, ferramentas de administração de TI, como PuTTY e muito mais. O LokiBot é vendido em fóruns de hackers e acredita-se que seu código-fonte vazou, permitindo o aparecimento de inúmeras variantes. Desde o final de 2017, algumas versões do LokiBot para Android incluem a funcionalidade de ransomware, além de seus recursos de roubo de informações.
↑ AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima ( incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
A lista global completa das dez principais famílias de malware em janeiro de 2023 pode ser encontrada no blog da Check Point Software.
Principais setores atacados no mundo e no Brasil
Quanto aos setores, em janeiro, Educação/Pesquisa firmou-se na liderança da lista como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde. Esses são os mesmos setores que ocupam as mesmas posições na lista global da Check Point Software desde o mês de agosto de 2022.
– Educação/Pesquisa
– Governo/Militar
– Saúde
No Brasil, os três setores no ranking nacional mais visados em janeiro passado foram:
– Governo/Militar
– Utilities
– Saúde
Principais vulnerabilidades exploradas
Em janeiro, a equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, seguida pela “HTTP Headers Remote Code Execution”, ocupando o segundo lugar com impacto global de 42% das organizações.
A “MVPower DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 39%.
↔Web Server Exposed Git Repository Information Disclosure – A vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↑HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um invasor remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
↑MVPower DVR Remote Code Execution — Existe uma vulnerabilidade de execução remota de código em dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em janeiro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por Hiddad e AhMyth.
– Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
– Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
– AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites.
Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
Os principais malwares de janeiro no Brasil
Em janeiro, o índice de ameaças do Brasil teve como principal malware o Qbot com impacto de 16,44%, pelo segundo mês consecutivo um índice que foi mais que o dobro do impacto global (6,50%).
O Cerbu, um cavalo de Troia que grava arquivos em pastas temporárias do Windows, aparece em segundo lugar na lista do Brasil com impacto de 6,43%; e o XMRig ficou em terceiro com 5% de impacto.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.
Check Point Software comenta sobre os ataques DDoS do Killnet contra a OTAN nesta semana
Check Point Software une forças com a Samsung para elevar a segurança móvel
Parceria entre Check Point Software e Intel visa aprimorar a segurança de endpoints com IA
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!