A Check Point Research (CPR), uma divisão de Inteligência em Ameaças da Check Point Software, lançou o Índice Global de Ameaças de agosto de 2023. Neste relatório, os pesquisadores identificaram uma nova variante do malware ChromeLoader, direcionado aos usuários do navegador Chrome, por meio de anúncios falsos que carregam extensões maliciosas.
O ChromeLoader é um sequestrador de navegador específico para o Google Chrome, inicialmente descoberto em 2022. No índice global do mês anterior, ele se classificou em 10º lugar entre as principais famílias de malware. Sua função é instalar secretamente extensões prejudiciais, enganando os usuários por meio de publicidade falsa nos navegadores da web.
Na campanha denominada “Shampoo,” as vítimas são enganadas para executar arquivos VBScript, o que resulta na instalação de extensões maliciosas no Chrome. Uma vez instaladas, essas extensões têm a capacidade de coletar dados pessoais e perturbar a experiência de navegação com anúncios indesejados.
Em agosto, os pesquisadores também destacaram uma vitória significativa do FBI na “Operação Duck Hunt,” que visava o malware Qbot (também conhecido como Qakbot). O FBI conseguiu assumir o controle da botnet, remover o malware de dispositivos infectados e identificar um grande número de dispositivos afetados. O Qbot evoluiu para um serviço de entrega de malware utilizado em várias atividades cibercriminosas, incluindo ataques de ransomware. Apesar de permanecer como o malware mais prevalente em agosto, a operação global teve um impacto significativo na sua disseminação, embora o Brasil tenha experimentado um impacto maior em comparação com a média global.
Além disso, em agosto, o setor de comunicações superou o setor de saúde pela primeira vez em 2023 como um dos setores mais afetados globalmente. Isso foi evidenciado por ataques cibernéticos direcionados a várias organizações do setor, incluindo um incidente em março envolvendo o grupo de ciberespionagem chinês APT41, que alvejou o setor de telecomunicações no Oriente Médio.
Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies, enfatizou a importância de manter a vigilância e a boa higiene de segurança em todos os vetores de ataque, mesmo após o sucesso na derrubada do QBot. A equipe da CPR também identificou as principais vulnerabilidades exploradas em agosto, sendo a “HTTP Headers Remote Code Execution” a mais explorada, afetando 40% das organizações globalmente, seguida pela “Command Injection Over HTTP” com 38% e pela “MVPower CCTV DVR Remote Code Execution,” que impactou 35% das organizações em todo o mundo.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em agosto passado, o Qbot foi o malware mais difundido no mês com um impacto de mais de 5% das organizações em todo o mundo, seguido pelo Formbook com impacto global de 4% e o Fakeupdates com 3%.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.
↔ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↑ Fakeupdates – Fakeupdates (AKA SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. Fakeupdates leva ao comprometimento adicional de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
A lista global completa das dez principais famílias de malware em agosto de 2023 pode ser encontrada no blog da Check Point Software.
Principais setores atacados no mundo e no Brasil
Quanto aos setores, em agosto, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar.
- Educação/Pesquisa
- Comunicações
- Governo/Militar
No Brasil, os três setores no ranking nacional mais visados por ciberataques em agosto foram:
- Governo/Militar
- Transportes
- Utilities
Principais vulnerabilidades exploradas
Em agosto, a equipe da CPR também revelou que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 40% das organizações no mundo, seguida pela “Command Injection Over HTTP”, ocupando o segundo lugar com impacto global de 38% das organizações. A “MVPower CCTV DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 35%.
↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.
↑ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) – Existe uma vulnerabilidade de execução remota de código no MVPower CCTV DVR. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse código arbitrário no sistema afetado.
Principais malwares móveis
Em agosto, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e SpinOk.
1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
3.SpinOk é um módulo de software Android que opera como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e é capaz de transferi-los para agentes de ameaças maliciosas. O módulo malicioso foi encontrado em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.
Os principais malwares de agosto no Brasil
Em agosto, o Brasil manteve sua posição no topo do ranking de ameaças, com o Qbot permanecendo como o principal malware pelo nono mês consecutivo, com um impacto de 14,34%. Esse índice representa quase o triplo do impacto global, que foi de 5,34%. Em segundo lugar, o Fakeupdates registrou um impacto de 4,08%, enquanto o NJRat ficou em terceiro lugar, com um impacto de 2,68%. O ChromeLoader não se encontra entre os dez principais na lista mensal brasileira.
É importante destacar que o Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. Essa é a maior rede colaborativa que fornece informações de ameaças em tempo real, obtidas a partir de centenas de milhões de sensores distribuídos por todo o mundo, abrangendo redes, dispositivos endpoints e móveis. Além disso, essa inteligência é aprimorada por meio de algoritmos de inteligência artificial e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
