A campanha Qbot, que ocorreu no mês passado, usa um novo método de entrega em que um e-mail é enviado aos indivíduos-alvo junto com um anexo contendo arquivos PDF protegidos.
Após o download, o malware Qbot será instalado no dispositivo. Os pesquisadores descobriram que o malspam foi enviado em vários idiomas, o que significa que as organizações podem ser visadas em todo o mundo. O Mirai, um dos malwares de IoT mais populares, também voltou no mês passado. Os pesquisadores descobriram que o Mirai explora uma nova vulnerabilidade de dia zero (CVE-2023-1380) para atacar os roteadores TP-Link e adicioná-los à sua botnet, que foi usada em alguns dos ataques DDoS mais amplamente distribuídos de todos os tempos. Esta última campanha segue um relatório abrangente da Check Point Research (CPR) sobre a proliferação de ataques IOT.
Segmentação de provedores de serviços de software
Também houve uma mudança nos setores afetados por ataques cibernéticos na Alemanha: não em primeiro lugar, porque o varejo e o atacado continuam sendo os mais atacados. No entanto, os ISP/MSP (provedores de serviços de software) sobem para o segundo lugar, enquanto a saúde caiu para o 3º setor mais atacado em abril. Os ataques a estabelecimentos de saúde estão bem documentados e alguns países continuam a enfrentar ataques constantes. A indústria continua sendo um alvo lucrativo para hackers, potencialmente dando a eles acesso a informações confidenciais de pacientes e pagamentos. Isso pode afetar as empresas farmacêuticas, pois pode levar a vazamentos em ensaios clínicos ou novos medicamentos e dispositivos.
“Os cibercriminosos estão constantemente trabalhando em novas maneiras de contornar as restrições, e essas campanhas são mais uma prova de como o malware se adapta para sobreviver. A campanha renovada da Qbot nos lembra da importância de ter segurança cibernética abrangente e devida diligência na avaliação da origem e intenção de um e-mail", disse Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
Principais malwares na Alemanha
*As setas referem-se à evolução do ranking em relação ao mês anterior.
1. ↔ Qbot – Qbot, também conhecido como Qakbot, é um Trojan bancário que apareceu pela primeira vez em 2008. Ele foi projetado para roubar as informações bancárias e as teclas digitadas do usuário. Comumente distribuído por e-mails de spam, o Qbot usa várias técnicas anti-VM, anti-depuração e anti-sandbox para complicar a análise e evitar a detecção.
2. ↑ NanoCore – NanoCore é um Trojan de acesso remoto direcionado aos usuários do sistema operacional Windows e foi observado pela primeira vez em estado selvagem em 2013. Todas as versões do RAT incluem plug-ins e recursos básicos, como gravação de tela, mineração de criptomoeda, controle de área de trabalho remota e roubo de sessões de webcam.
3. ↑ AgentTesla – AgentTesla é um RAT sofisticado que atua como keylogger e ladrão de senhas e está ativo desde 2014. O AgentTesla pode monitorar e coletar as teclas digitadas e a área de transferência da vítima, capturar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados no computador da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). AgentTesla é vendido em vários mercados online e fóruns de hackers.
3 principais vulnerabilidades
No mês passado, Web Servers Malicious URL Directory Traversal foi a vulnerabilidade mais explorada, afetando 48% das organizações em todo o mundo, seguida por Apache Log4j Remote Code Execution com 44% e HTTP Headers Remote Code Execution com um impacto global de 43%.
↑ Traversal de diretório de URL malicioso de servidores da Web – Existe uma vulnerabilidade de passagem de diretório em vários servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não limpa adequadamente o URI para padrões de travessia de diretório. A exploração bem-sucedida permite que invasores não autenticados exponham ou acessem arquivos arbitrários no servidor vulnerável.
↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade no Apache Log4j que permite a execução remota de código. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado.
↓ Execução Remota de Código de Cabeçalhos HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor incluam informações adicionais com uma solicitação HTTP para transmitir. Um invasor remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.
3 Principais Malwares Móveis
No último mês, Ahmyth foi o malware móvel mais prevalente, seguido por Anubis e Hiddad.
1. ↔ AhMyth – AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e realizar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera.
↔ Anubis – Anubis é um Trojan bancário desenvolvido para telefones Android. Desde a sua detecção inicial, ganhou recursos adicionais, incluindo trojan de acesso remoto (RAT), keylogger e recursos de gravação de áudio e várias funções de ransomware. Ele foi detectado em centenas de aplicativos diferentes na Google Store.
↔ Hiddad – Hiddad é um malware para Android que reempacota aplicativos legítimos e os publica em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso a importantes detalhes de segurança do sistema operacional.
Você tem um momento?
Reserve alguns minutos para nossa pesquisa de usuários de 2023 e ajude a melhorar o B2B-CYBER-SECURITY.de!Você só precisa responder a 10 perguntas e tem uma chance imediata de ganhar prêmios da Kaspersky, ESET e Bitdefender.
Aqui você vai direto para a pesquisa
Indústrias atacadas na Alemanha
1. ↔ Varejo/Atacado (Varejo/Atacado)
2. ↑ Provedor de Serviços de TI/Provedor de Serviços Gerenciados (ISP/MSP)
3. ↓ Educação/Pesquisa
O Índice de Impacto de Ameaças Globais e o Mapa de Ameaças Globais da Check Point são alimentados pela ThreatCloud Intelligence da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo em redes, endpoints e telefones celulares. Essa inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da Check Point Research, o departamento de pesquisa e desenvolvimento da Check Point Software Technologies.
Mais em Checkpoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.