No Índice Global de Ameaças de agosto de 2023, o Formbook foi o malware mais difundido na Alemanha, seguido pelo CloudEyE e Qbot.
Do outro lado do Atlântico, o FBI anunciou uma vitória significativa na sua operação global contra o Qbot (também conhecido como Qakbot) em agosto. Na “Operação Duck Hunt”, o FBI assumiu o controle da botnet, removeu o malware dos dispositivos infectados e identificou um número significativo de dispositivos afetados
Qbot está diminuindo significativamente
O Qbot evoluiu para um serviço de entrega de malware usado para diversas atividades cibercriminosas, incluindo ataques de ransomware. Normalmente se espalha por meio de campanhas de phishing e colabora com outros atores de ameaças. Embora o Qbot tenha permanecido o malware mais difundido globalmente em agosto, a Check Point observou um declínio significativo no seu impacto após a operação. Os servidores do malware também foram paralisados na Alemanha, conforme anunciou o BKA.
Maya Horowitz, vice-presidente de pesquisa da Check Point Software, sobre o ataque ao Qbot: “A derrubada do QBot foi um avanço significativo na luta contra o crime cibernético. Contudo, não devemos ser complacentes porque quando um cai, outro se levantará e tomará o seu lugar. Devemos todos permanecer vigilantes, trabalhar juntos e continuar a praticar uma boa higiene de segurança em todos os vetores de ataque.”
Principais malwares na Alemanha
Formbook foi o malware mais difundido no mês passado, com um impacto ligeiramente decrescente de 11,88% nas organizações alemãs, seguido pelo CloudEyE com um impacto nacional de 11,72% e Qbot com 4,82%.
↔ Livro de formulários – O Formbook é um ladrão de informações direcionado ao sistema operacional Windows e foi descoberto pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hackers clandestinos devido às suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta informações de login de vários navegadores da Web, captura capturas de tela, monitora e registra as teclas digitadas e pode baixar e executar arquivos quando instruído por seu C&C.
↑ CloudEyE–CloudEye, anteriormente chamado de “GuLoader”, é um downloader direcionado à plataforma Windows e usado para baixar e instalar programas maliciosos nos computadores das vítimas.
↔ QbotName – Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Ele foi projetado para roubar as credenciais de login de um usuário, registrar teclas digitadas, roubar cookies de navegadores, espionar atividades bancárias e instalar malware adicional. Comumente distribuído por e-mails de spam, o Qbot usa várias técnicas anti-VM, anti-depuração e anti-sandbox para complicar a análise e evitar a detecção. A partir de 2022, é um dos Trojans mais difundidos.
3 principais vulnerabilidades
No mês passado, a “Execução Remota de Código de Cabeçalhos HTTP” foi a vulnerabilidade mais explorada, afetando 40% das organizações em todo o mundo, seguida pela “Injeção de Comando através de http”, afetando 38% das organizações em todo o mundo. “MVPower CCTV DVR Remote Code Execution” foi a terceira vulnerabilidade mais explorada, com um impacto global de 35%.
↑ Cabeçalho HTTP Execução Remota de Código (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Os cabeçalhos HTTP permitem que o cliente e o servidor transmitam informações adicionais com uma solicitação HTTP. Um invasor remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário no computador da vítima.
↑ Injeção de comando sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um invasor remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Se explorado com sucesso, um invasor poderá executar código arbitrário no computador de destino.
↑ Execução remota de código MVPower CCTV DVR (CVE-2016-20016) – Uma vulnerabilidade de execução remota de código no MVPower CCTV DVR. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um invasor remoto executasse código arbitrário no sistema afetado.
3 Principais Malwares Móveis
No mês passado, o Anubis permaneceu no topo dos malwares móveis mais comuns, seguido pelo AhMyth e SpinOk, que trocaram de lugar.
↔ Anubis – Anubis é um malware Trojan bancário projetado para celulares Android. Desde a sua descoberta inicial, ele ganhou recursos adicionais, incluindo Trojan de acesso remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi descoberto em centenas de aplicativos diferentes na Google Store.
↑ AhMito – AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e diversos sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e realizar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que normalmente são usadas para roubar informações confidenciais.
↓ SpinOk – SpinOk é um módulo de software Android que funciona como um programa espião. Ele coleta informações sobre os arquivos armazenados nos dispositivos e é capaz de encaminhá-los para agentes de ameaças mal-intencionados. O módulo malicioso foi encontrado em mais de 100 aplicativos Android e foi baixado mais de 2023 milhões de vezes até maio de 421.000.000.
Top 3 dos setores e áreas atacadas na Alemanha
↑ SI/VAR/Distribuidores
↑ Saúde e bem estar
↑ ISP/MSP
O Índice Global de Impacto de Ameaças da Check Point e o ThreatCloudMap são baseados no ThreatCloudIntelligence da Check Point. O ThreatCloud fornece inteligência sobre ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo em redes, endpoints e telefones celulares. Esta inteligência é enriquecida com motores baseados em IA e dados de investigação exclusivos da Check Point Research, a divisão de investigação e desenvolvimento da Check Point Software Technologies.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.
Artigos relacionados ao tema