O Trickbot é um cavalo de Troia bancário que pode roubar credenciais financeiras e de contas, bem como as informações de identificação pessoal, além de se espalhar em uma rede e lançar um ransomware (este malware é frequentemente usado nos estágios iniciais de ataques de ransomware). Desde a queda do Emotet em janeiro deste ano, o malware Trickbot ganhou popularidade. Ele é constantemente atualizado com novos recursos, mais capacidades e vetores de distribuição, o que permite que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

“No mesmo mês em que o Trickbot se tornou novamente o malware mais difundido, um dos membros da gangue do Trickbot foi preso como resultado de uma investigação nos Estados Unidos”, informa Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Além de outras acusações que foram feitas este ano no combate contra este malware, acreditamos que o domínio do seu grupo será reduzido em breve. Mas, como sempre, ainda há um longo caminho a ser percorrido.”

“Na semana passada, nossos pesquisadores relataram que há 40% mais ataques semanais a organizações em 2021 em comparação com 2020 globalmente, mas a maioria deles, se não todos, poderia ter sido evitada. As organizações não devem demorar em adotar, em primeiro lugar, uma abordagem de prevenção para a segurança cibernética”, alerta Maya Horowitz. No Brasil, os pesquisadores da Check Point Research verificaram um aumento de 62% nos ataques cibernéticos semanais em 2021, em comparação com 2020 (967 ciberataques por semana em média), enquanto observaram também um aumento de 8% em ataques por ransomware em 2021.

Com relação ainda ao Índice Global de Ameaças referente ao mês de setembro, a CPR apontou o ingresso do cavalo de Troia de acesso remoto, njRAT, no Top 10 da lista pela primeira vez, ocupando o lugar do malware Phorpiex, o qual não está mais ativo.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em setembro, o Trickbot foi o malware mais popular com um impacto global de 4% das organizações, seguido pelo Formbook e XMRig, sendo que cada um afetou 3% das organizações em todo o mundo.

1. ↑ Trickbot - É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

2. ↓ Formbook - É um “ladrão” de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.

3. ↑ XMRig - É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

Principais vulnerabilidades exploradas

Em setembro, a equipe da CPR também revelou que a vulnerabilidade mais comum explorada foi a “Web Server Exposed Git Repository Information Disclosure”, afetando 44% das organizações globalmente, seguida pela “Command Injection Over HTTP”, que impactou 43% das organizações no mundo todo. A vulnerabilidade “HTTP Headers Remote Code Execution” ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 43%.

↔ Web Server Exposed Git Repository Information Disclosure - a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↑ Command Injection Over HTTP - Um atacante remoto pode explorar uma vulnerabilidade de injeção de comando HTTP enviando uma solicitação especialmente criada à vítima. Se for bem-sucedida, essa exploração permitiria que um atacante executasse um código arbitrário no computador de um usuário.

↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.

Principais malwares móveis

Em setembro, o xHelper permaneceu em primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot.

1. xHelper - Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
2. AlienBot - A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
3. FluBot - É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

Os principais malwares de setembro no Brasil

O principal malware no Brasil em setembro de 2021 foi o Trickbot, o qual retornou à liderança da lista do País com 5,58% de impacto nas organizações. O XMRig ocupou o segundo lugar (4,64%) no ranking nacional, enquanto o Glupteba (4,49%) ficou em terceiro.

O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.