Pular para o conteúdo principal

Malware desmantelado pelo FBI segue em alta no Brasil com foco em roubo de credenciais bancárias

Alerta: Malware desmantelado pelo FBI segue em alta no Brasil com foco em roubo de credenciais bancárias

A empresa de segurança Check Point faz um alerta: há um malware desmantelado pelo FBI segue em alta no Brasil com foco em roubo de credenciais bancárias. No Índice Global de Ameaças da Check Point Research de agosto, os pesquisadores relataram também sobre uma nova campanha do malware ChromeLoader chamada “Shampoo” que visa usuários do navegador Chrome com anúncios falsos.

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de agosto de 2023. Os pesquisadores relataram uma nova variante do malware ChromeLoader, que tem como alvo os usuários do navegador Chrome com anúncios falsos carregados com extensões maliciosas.

O ChromeLoader é um sequestrador de navegador persistente do Google Chrome, descoberto pela primeira vez em 2022. Classificado em 10º lugar entre as principais famílias de malware no índice global do mês passado, ele foi projetado para instalar secretamente extensões ruins por meio de publicidade falsa em navegadores da web.

No caso da campanha “Shampoo”, as vítimas são enganadas e executam arquivos VBScript que instalam extensões maliciosas do Chrome. Uma vez instaladas, tais extensões podem coletar dados pessoais e dificultar a navegação com anúncios indesejados.

Um importante fato foi relatado pelos pesquisadores da Check Point Research em agosto. O FBI anunciou uma vitória significativa na sua operação global contra o malware Qbot (também conhecido como Qakbot). Na “Operação Duck Hunt”, o FBI assumiu o controle desse botnet, removeu o malware dos dispositivos infectados e identificou um número substancial de dispositivos afetados.

Alerta: Malware desmantelado pelo FBI segue em alta no Brasil com foco em roubo de credenciais bancárias

O Qbot evoluiu para um serviço de entrega de malware usado para diversas atividades cibercriminosas, incluindo ataques de ransomware. Normalmente se espalha por meio de campanhas de phishing e colabora com outros atores de ameaças. Embora tenha permanecido o malware mais prevalente em agosto, a Check Point Software observou uma diminuição significativa no seu impacto após a operação em nível global. No entanto, no caso do Brasil, o índice de impacto em agosto foi quase três vezes maior que o porcentual global.

Em agosto, os pesquisadores da CPR também viram o setor de comunicações ocupar o segundo lugar como um dos setores mais impactados em nível mundial, ultrapassando o setor de saúde pela primeira vez em 2023. Houve vários exemplos de organizações do setor que enfrentaram ataques cibernéticos neste ano. Em março, o grupo de ciberespionagem patrocinado pelo Estado chinês APT41 foi observado mirando o setor das telecomunicações no Oriente Médio. Os agentes da ameaça se infiltraram nos servidores Microsoft Exchange voltados para a Internet para executar comandos, realizar reconhecimento, roubar credenciais e realizar atividades de movimentação lateral e exfiltração de dados.

“A derrubada do QBot foi um avanço significativo na luta contra o crime cibernético. No entanto, não podemos nos tornar complacentes porque quando um cai, outro surgirá para ocupar o seu lugar.” afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Devemos todos permanecer vigilantes, trabalhar juntos e continuar a praticar uma boa higiene de segurança em todos os vetores de ataque”, reforça Maya.

A equipe da CPR também revelou que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade global mais explorada em agosto, impactando 40% das organizações em todo o mundo, seguida pela “Command Injection Over HTTP” com 38% e pela “MVPower CCTV DVR Remote Code Execution”, com impacto global de 35% nas organizações.

Principais famílias de malware

Em agosto passado, o Qbot foi o malware mais difundido no mês com um impacto de mais de 5% das organizações em todo o mundo, seguido pelo Formbook com impacto global de 4% e o Fakeupdates com 3%.

Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.

Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

Fakeupdates – Fakeupdates (AKA SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. Fakeupdates leva ao comprometimento adicional de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

A lista global completa das dez principais famílias de malware em agosto de 2023 pode ser encontrada no blog da Check Point Software.

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em agosto, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar.

1.Educação/Pesquisa

2.Comunicações

3.Governo/Militar

No Brasil, os três setores no ranking nacional mais visados por ciberataques em agosto foram:

1.Governo/Militar

2.Transportes

3.Utilities

Principais vulnerabilidades exploradas

Em agosto, a equipe da CPR também revelou que a “HTTP Headers Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 40% das organizações no mundo, seguida pela “Command Injection Over HTTP”, ocupando o segundo lugar com impacto global de 38% das organizações. A “MVPower CCTV DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 35%.

HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.

Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Uma vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria que um atacante executasse código arbitrário na máquina alvo.

MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) – Existe uma vulnerabilidade de execução remota de código no MVPower CCTV DVR. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse código arbitrário no sistema afetado.

Principais malwares móveis

Em agosto, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e SpinOk.

1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.

3.SpinOk é um módulo de software Android que opera como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e é capaz de transferi-los para agentes de ameaças maliciosas. O módulo malicioso foi encontrado em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.

Os principais malwares de agosto no Brasil

Em agosto, o ranking de ameaças do Brasil manteve o primeiro lugar inalterado com o Qbot sendo principal malware pelo nono mês consecutivo na liderança, com impacto de 14,34%, um índice que é quase o triplo do impacto global (5,34%). Em segundo lugar, o Fakeupdates apontou impacto de 4,08%; enquanto o NJRat ficou em terceiro lugar com impacto de 2,68%. O ChromeLoader não aparece no Top 10 da lista mensal brasileira.

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR). 

Comentários

Postagens mais visitadas deste blog

“internet zumbi”

 A ascensão do slop, diz ele, transformou a rede social em um espaço onde “uma mistura de bots, humanos e contas que já foram humanos, mas não se misturam mais para formar um site desastroso onde há pouca conexão social”. Nick Clegg, presidente de assuntos globais da empresa-mãe do Facebook, Meta, escreveu em fevereiro que a rede social está treinando seus sistemas para identificar conteúdo feito por IA. “Como a diferença entre conteúdo humano e sintético fica turva, as pessoas querem saber onde está o limite”, escreveu ele. O problema começou a preocupar a principal fonte de receita da indústria de mídia social: as agências de publicidade que pagam para colocar anúncios ao lado do conteúdo. Farhad Divecha, diretor-gerente da agência de marketing digital AccuraCast, com sede no Reino Unido, diz que agora está encontrando casos em que os usuários estão sinalizando erroneamente os anúncios como slop feitos de IA quando não estão. “Vimos casos em que as pessoas comentaram qu

A MENTE ARTÍSTICA

Em seu novo livro, as autoras Susan Magsamen, fundadora e diretora do International Arts + Mind Lab, e Ivy Ross afirmam que fazer e experimentar arte pode nos ajudar a florescer Quando Susan Magsamen tomou a decisão de terminar seu primeiro casamento, ela enfrentou dias emocionais e difíceis trabalhando não apenas em seus próprios sentimentos, mas os de seus filhos pequenos. Foi preciso um pedaço de argila de uma criança para mudar tudo isso. Como ela relata em seu novo livro, Your Brain on Art: How the Arts Transform Us (Random House, 2023), ela "começa a esculpir espontaneamente. O que emergiu foi uma estátua de uma mulher de joelhos, seus braços levantados com as mãos estendendo o céu e sua cabeça inclinada para trás, soluçando em total desespero sem palavras." Logo, ela escreve, ela mesma estava em lágrimas. Podemos reconhecer essa ação como um exemplo de uso de nossa criatividade para expressar e liberar emoções reprimidos. Mas como Magsamen, fundadora e diretora executi

Cibersegurança: Confiança zero… desconfiança por omissão

  Atualmente, todas as empresas têm presença digital. Embora este facto traga inúmeros benefícios, também acarreta uma série de riscos. Os cibercriminosos estão a encontrar cada vez mais formas de contornar as medidas de segurança e aceder aos dados. Se a proteção não for suficientemente forte, os dados das organizações, dos seus clientes e dos seus parceiros podem ser comprometidos, com consequências terríveis para as empresas. A crescente digitalização, juntamente com a evolução das táticas dos cibercriminosos, está a resultar num aumento dos incidentes de cibersegurança. Esta tendência preocupante é demonstrada no último Relatório de Violação de Dados, realizado pelo Internet Theft Resource Center (ITRC), que regista 2.365 ciberataques em 2023 que afetaram mais de 300 milhões de vítimas. Com este conhecimento, é essencial que as empresas tomem medidas e protejam os seus sistemas para evitar que utilizadores não identificados acedam a informações sensíveis. Só assim será possível red