A Check Point Research publicou o seu mais recente Índice Global de Ameaças para Julho de 2022. O CPR informa que o Emotet continua o seu reinado como o malware mais amplamente utilizado, apesar de uma redução de 50% no seu impacto global em comparação com o mês anterior.
Após um pico no impacto global do Emotet no mês passado, o Emotet está de volta aos seus números de impacto global e continua como o malware mais difundido. Possivelmente o pico terminou, devido às férias de Verão, como se viu no passado. No entanto, novas características e melhorias nas capacidades do Emotet são constantemente descobertas, tais como o seu mais recente módulo de roubo de cartões de crédito
Julho também viu o Snake Keylogger, um ladrão de credenciais, cair do terceiro para o oitavo lugar. Em junho, o Snake Keylogger estava a ser difundido através de documentos Word maliciosos, pelo que a diminuição da sua prevalência pode dever-se em parte à recente confirmação da Microsoft de que irá bloquear macros por defeito. Substituindo-o em terceiro lugar está o XMRig, um software CPU de código aberto utilizado para minar moeda criptográfica – isto indica que os cibercriminosos estão fundamentalmente “nele pelo dinheiro” apesar de quaisquer motivações mais elevadas que possam alegar, tais como o hacktivismo. Malibot, que era novo no relatório do mês passado, continua a ser uma ameaça para os utilizadores de serviços bancários móveis, uma vez que continua a ser o terceiro malware móvel mais prevalecente a nível mundial
“O Emotet continua a dominar as nossas tabelas mensais de malware de topo”, afirma Maya Horowitz, VP Research na Check Point Software. “Este botnet evolui continuamente para manter a sua persistência e evasão. Os seus últimos desenvolvimentos incluem um módulo de roubo de cartões de crédito, o que significa que as empresas e indivíduos devem ter um cuidado extra ao fazer quaisquer compras online. Além disso, com a Microsoft a confirmar agora que irá bloquear macros por defeito, esperamos para ver como os malwares, tais como o Snake Keylogger, podem mudar as suas tácticas”.
O CPR também revelou este mês que “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais frequentemente explorada, com impacto em 42% das organizações a nível mundial, seguida de perto pelo “Apache Log4j Remote Code Execution” com um impacto de 41%. “Web Servers Malicious URL Directory Traversal” permaneceu em terceiro lugar, com um impacto global de 39%.
Principais Famílias Malware
O Emotet continua a ser o malware mais difundido, com um impacto global de 7%. Segue-se Formbook, com um impacto de 3% das organizações a nível mundial, e depois XMRig, com um impacto global de 2%. Em Portugal seguiu a tendência global, contudo o impacto foi mais significativo, com 28% das organizações portuguesas afetadas pelo Emolet, contudo este valor foi ligeiramente abaixo que o valor registado em junho, Em segundo lugar, o Formbook, com um impacto de 9%. Seguiu-se o Snake Keylogger, responsável por impactar 6% das organizações nacionais
1.↔ Emotet – O Emotet é um Trojan avançado, auto-propagador e modular. O Emotet já foi usado como um Trojan bancário, mas recentemente é usado como distribuidor para outros malware ou campanhas maliciosas. Utiliza múltiplos métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, pode ser difundido através de e-mails de phishing spam contendo anexos ou ligações maliciosas.
2.↔ Formbook – Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
3.↑ XMRig – XMRig é um software de mineração de CPU de código aberto utilizado para minerar a moeda criptográfica Monero. Os atores da ameaça abusam frequentemente deste software de código aberto, integrando-o no seu malware, para conduzir mineração ilegal nos dispositivos da vítima.
Veja a lista completa das dez principais famílias de malware em julho no blog da Check Point.
Principais indústrias atacadas em Portugal
Em Portugal a saúde é a indústria mais atacada a, seguida das utilities e da educação/investigação
- Saúde
- Utilities
- Educação/Investigação
Principais indústrias atacadas a nível mundial
A educação/investigação é ainda a indústria mais atacada a nível mundial, seguida pelo Governo/Militar e Fornecedores de Serviços de Internet/Managed Service Providers (ISP/MSP).
- Educação & Investigação
- Governo/Militar
- ISP/MSP
Principais Vulnerabilidades Exploradas
Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais frequentemente explorada, com impacto em 42% das organizações a nível mundial. É seguido de perto pelo “Apache Log4j Remote Code Execution” que caiu de primeiro para segundo com um impacto ligeiramente menor de 41%. “Web Servers Malicious URL Directory Traversal” manteve-se em terceiro lugar, com um impacto global de 39%.
1.↑ Web Server Exposed Git Repository Information Disclosure – Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta.
2.↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse um código arbitrário no sistema afetado.
3.↔ Web Servers Malicious URL Directory Transversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de transversal de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
Top Malwares móveis
AlienBot é o malware móvel mais prevalecente, seguido por Anubis e MaliBot.
1.AlienBot – A família de malware AlienBot é um Malware como um Serviço (MaaS) para dispositivos Android que permite a um atacante remoto, como primeiro passo, injectar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla completamente o seu dispositivo.
2.Anubis – Anubis é um Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de resgate. Foi detetado em centenas de aplicações diferentes disponíveis na Loja Google.
3.MaliBot – Malibot é um malware de infostealer do Android que foi detetado em Espanha e Itália. O infostealer disfarça-se de aplicações criptográficas sob diferentes nomes e concentra-se em roubar informação financeira, carteiras criptográficas e mais dados pessoais.