Top Malware Julho de 2020 - Check Point aponta o retorno do botnet Emotet no ranking mensal global e do Brasil

Desde fevereiro de 2020, as atividades do Emotet, primeiramente enviando campanhas de malspam, começaram a desacelerar inclusive paralisando ações, até ressurgir em julho. Esse padrão já havia sido observado em 2019, quando o botnet Emotet interrompeu sua atividade durante os meses de junho a agosto, tendo retomado em setembro.

Em julho deste ano, o Emotet estava distribuindo campanhas de malspam, infectando suas vítimas com TrickBot e Qbot, malwares que são usados para roubar credenciais bancárias e se espalhar dentro de redes. Algumas das campanhas de spam continham arquivo .doc malicioso com nomes como “form.doc” ou “invoice.doc”. De acordo com os pesquisadores, o documento malicioso inicia um script do PowerShell para extrair o binário do Emotet das páginas Web remotamente para infectar máquinas, fazendo com que passem a fazer parte da rede botnet. A retomada das atividades do Emotet destaca a escala e sua capacidade para infectar redes em nível mundial.

“É interessante que o Emotet tenha ficado inativo por vários meses desde o início deste ano, repetindo um padrão que observamos pela primeira vez em 2019. Podemos supor que os desenvolvedores por trás do botnet estavam atualizando seus recursos e suas capacidades. Mas, como está ativo novamente, as organizações devem educar os funcionários sobre como identificar os tipos de malspam que carregam essas ameaças e alertar sobre os riscos de abrir anexos de e-mail ou clicar em links de fontes externas. As empresas também devem atentar para a implementação de soluções antimalware que podem evitar que esse conteúdo chegue aos usuários finais ”, adverte Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point.

A equipe de pesquisas da Check Point também alerta sobre a vulnerabilidade “MVPower DVR Remote Code Execution”, a mais comum e explorada no mês passado, afetando 44% das organizações globalmente, seguida pela “OpenSSL TLS DTLS Heartbeat Information Disclosure”, que afetou 42% das organizações em todo o mundo, e pela “Command Injection Over HTTP Payload”, em terceiro lugar com um impacto global de 38%.

As principais famílias de malware

* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.

Em julho, o Emotet foi o malware líder da lista mensal, com um impacto global de 5% das organizações, seguido de perto pelo Dridex e pelo Agente Tesla, afetando 4% das organizações cada um.

1. ↑ Emotet - É um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

2. ↑ Dridex – É um Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, baixado por meio de um anexo de e-mail de spam. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e também pode baixar e executar módulos adicionais para controle remoto.

3. ↓ Agent Tesla – É um RAT (remote access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

Principais vulnerabilidades exploradas em julho

Em julho, a “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais comum, afetando 44% das organizações globalmente, seguida pela “OpenSSL TLS DTLS Heartbeat Information Disclosure” que afetou 42% das empresas em todo o mundo. A “Command Injection Over HTTP Payload” foi a vulnerabilidade posicionada em terceiro lugar na lista com um impacto global de 38%.

1. ↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

3. ↑ Command Injection Over HTTP Payload – Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada à vítima. A exploração bem-sucedida permitiria ao atacante executar código arbitrário na máquina de destino.

Principais famílias de malware – Dispositivos móveis

Em julho, o xHelper foi o malware que se destacou em primeiro lugar, seguido pelo Necro e PreAMo.

1. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

2. Necro – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.

3. PreAMo – um malware Android que imita o usuário clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub.

Os principais malwares de julho no Brasil

O principal malware no Brasil no mês passado, como a nível global, foi o Emotet cujo impacto nas organizações foi de 7,77%. Desde o início deste ano, o criptominerador XMRig vinha liderando a lista Top 10 do Brasil: impactou 18,26% em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; 4,42% em junho; e, em julho, caiu para o 5º. lugar.

O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.

A lista completa das Top 10 principais famílias de malware de julho pode ser encontrada no Check Point Blog: Check Point Blog.

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html