Malware Trickbot ganha popularidade e ocupa a liderança em índice global de ameaças

18

Capaz de roubar informação bancária, credenciais de conta e dados pessoais, o Trickbot é um botnet em constante atualização que pode ser utilizado em campanhas com os mais variados objetivos

A Check Point divulgou o Índice Global de Ameaças referente ao mês de maio de 2021. Os pesquisadores relataram que o malware Trickbot, que entrou pela primeira vez na lista em abril de 2019, agora ocupa o primeiro lugar, enquanto o trojan Dridex saiu completamente do Top 10 depois de ser um dos malwares mais populares nos últimos meses em meio a um aumento global de ataques de ransomware.

Embora ainda não se saiba por que o Dridex saiu da lista, relatórios recentes indicam que o grupo Evil Corp, conhecido por distribuir o Dridex, mudou sua abordagem de ataque como forma de se livrar das sanções do Departamento do Tesouro dos Estados Unidos.

Na liderança do índice de malware de maio, o Trickbot é um botnet e cavalo de Troia bancário capaz de roubar informações financeiras, credenciais de conta e dados pessoais, bem como disseminar-se numa rede e implantar um ransomware, em particular o Ryuk. Este malware está constantemente sendo atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe confere um caráter flexível e personalizável que permite a sua disseminação por meio de campanhas com múltiplos propósitos.

O Trickbot ganhou popularidade após o esforço global que interrompeu a ação do botnet Emotet, em janeiro, e ganhou novo destaque no início de junho quando o Departamento de Justiça dos Estados Unidos acusou uma mulher da Letônia por seu papel na criação e implantação do malware Trickbot.

Desde o início de 2021, a divisão CPR acompanha um aumento significativo no volume de ciberataques contra empresas. Em comparação com maio de 2020, a CPR observou um acréscimo de 70% no número de ciberataques nas Américas, enquanto a região de EMEA apresenta um aumento de 97% em relação a maio de 2020 e APAC com impressionantes 168% ano a ano.

“Muito tem se falado sobre o recente aumento nos ataques de ransomware, mas, na verdade, estamos diante de um grande aumento no número de ataques cibernéticos em geral. É uma tendência significativa e preocupante”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em maio, o Trickbot se tornou o malware mais popular com um impacto global de 8,28% das organizações, seguido por XMRig e Formbook, sendo que cada um afetou 3% das organizações em todo o mundo.

 Trickbot – É um cavalo de Troia bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

↑ Formbook – É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.

Principais vulnerabilidades exploradas

Em maio, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)”, que impactou 47,5% das organizações no mundo todo. A vulnerabilidade “MVPower DVR Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 46%.

 Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

↔ MVPower DVR Remote Code Execution  Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

Principais malwares móveis

Em maio, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por Triada e Hiddad. São os mesmos malwares móveis destacados em abril de 2021.

1) xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

2) Triada – Um backdoor modular para Android que concede privilégios de superusuário ao malware baixado.

3) Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

Os principais malwares de maio no Brasil

O principal malware no Brasil em maio de 2021 foi o Proxy, um cavalo de Troia que tem como alvo a plataforma Windows. Este malware envia informações do sistema a um atacante remoto e configura um servidor proxy no sistema da vítima. O Proxy lidera a lista nacional com um índice de 8,99%. Enquanto o Trickbot ocupou o segundo lugar com impacto de 8,76%, seguido pelo XMRig com 8,45%.

você pode gostar também