Check Point: Principais Malwares na Grécia Abril de 2019

Pesquisadores da Check Point confirmam o retorno do Trojan Trickbot, após dois anos de ausência, à lista dos dez malwares mais comuns

A Check Point Research, divisão de pesquisa da Check Point Software Technologies Ltd., fornecedora líder de soluções de segurança cibernética em todo o mundo, publicou seu mais recente Catálogo Global de Ameaças para abril de 2019. Como se vê, o trojan bancário Trickbot voltou aos dez primeiros. pela primeira vez em quase dois anos.

Ponto de verificação

Trojans bancários multiuso, como o Trickbot, são opções populares para cibercriminosos que buscam ganhos financeiros.

As campanhas do Trickbot aumentaram acentuadamente em abril, com várias delas sendo implementadas durante o período em que a entrega de declarações de imposto de renda individuais aos Estados Unidos foi concluída.

Por meio das campanhas de spam que foram realizadas, foram compartilhados arquivos do Excel que “baixaram” o Trickbot para os computadores das vítimas. O Trojan então se espalhou para várias redes, coletou dados bancários e possivelmente extraiu documentos fiscais para uso ilegal.

Enquanto os três malwares mais comuns em abril eram cryptominers, os sete restantes, dos dez primeiros, eram trojans multiuso. Isso destaca as mudanças nas práticas usadas pelos criminosos para maximizar seus benefícios econômicos com as campanhas, após o fechamento de vários serviços populares de criptografia e a queda no valor de várias criptomoedas nos últimos anos.

Maya Horowitz, diretora de informações e pesquisas de ameaças da Check Point, comentou: “Este mês, tanto o Trickbot quanto o Emotet estavam na lista dos dez malware mais comuns.

Isso é particularmente preocupante, pois atualmente essas duas redes de bots são usadas não apenas para roubar dados pessoais dos usuários, mas também para espalhar o Ryuk ransomware. O infame Ryuk tem como alvo ativos como bancos de dados e servidores de backup, exigindo um resgate de mais de US $ 1 milhão.

Como esses programas maliciosos estão mudando constantemente, é vital que tenhamos uma forte linha de defesa com recursos avançados de prevenção de ameaças “.

As três ameaças de malware mais comuns em abril de 2019:

* As setas indicam uma alteração na classificação em comparação com o mês anterior.

  1. E Cryptoloot – Software de produção de criptomoeda que usa o poder da CPU ou GPU e os recursos existentes da vítima para criptominação – adicionando transações de blockchain e gerando novas moedas. O Coinhive concorre, tentando substituí-lo, solicitando uma porcentagem menor de receita dos sites.
  2. E XMRig – O XMRig é um software de mineração de CPU de código aberto para o processo de produção da criptomoeda Monero, lançado pela primeira vez em maio de 2017.
  3. ↑ JSEcoin – Software de mineração JavaScript que pode ser incorporado em sites. Com o JSEcoin, você pode executar o software de mineração diretamente no navegador em troca de uma experiência de navegação sem anúncios, moedas de jogos e outros incentivos.

Em abril, o Triada se tornou o malware mais popular para telefones celulares, substituindo o Hiddad no topo da lista dos principais malwares móveis. Lotoor ficou em segundo lugar, com Hiddad caindo para terceiro.

As três ameaças de malware mais comuns para dispositivos móveis em abril:

  1. Triada – Backdoor móvel para Android que atribui direitos de superusuário a malware baixado, ajudando-o a integrar-se nos processos do sistema. Também foi encontrado que o Triada distorce os URLs carregados no navegador.
  2. Loteria– Ferramenta de cibercrime (hacking) que explora vulnerabilidades no sistema operacional Android para obter acesso root a dispositivos móveis violados.
  3. Hiddad – Software Android malicioso que reembala aplicativos legítimos e os disponibiliza em uma loja de terceiros. Sua principal função é exibir anúncios; no entanto, também é possível obter acesso a importantes recursos de segurança integrados ao sistema operacional, permitindo que um invasor obtenha dados confidenciais do usuário.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais frequentemente exploradas. A divulgação de informações de pulsação do OpenSSL TLS DTLS está no topo, afetando 44% das organizações em todo o mundo. Pela primeira vez em 12 meses, a vulnerabilidade CVE-2017-7269 ficou em segundo lugar, afetando 40% das organizações em todo o mundo, enquanto a vulnerabilidade CVE-2017-5638 ocupa a terceira posição, afetando 38% das organizações em todo o mundo.

As três vulnerabilidades “mais exploradas” em abril:

  1. ↑ Divulgação de informações de pulsação do OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade à divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes de pulsação TLS / DTLS. Um invasor pode explorar essa vulnerabilidade para revelar o conteúdo da memória de um cliente-servidor ou sistema de servidor conectado.
  2. ↓ Estouro de buffer do Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) – Enviando uma solicitação interna através de uma rede para o Microsoft Windows Server 2003 R2 via Microsoft Internet Information Services 6.0, um invasor remoto pode executar um terceiro código ou causar condições de negação de serviços ao servidor de destino. Isso ocorre principalmente devido a uma vulnerabilidade do estouro de memória intermediária, causada pela validação incorreta de um cabeçalho grande em uma solicitação HTTP.
  3. E Apache Struts2 ConteúdoTipo Controlo remoto Código Execução (CVE-2017-5638) – Há uma vulnerabilidade na execução remota de código no Apache Struts2 que utiliza o desenvolvedor de vários nós, Jacarta. Um invasor pode explorar essa vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitação de arquivo.A exploração bem-sucedida da vulnerabilidade pode levar à execução arbitrária de código no sistema afetado.

* A lista completa das 10 ameaças de malware mais comuns na Grécia para abril é:

Cryptoloot – Software de produção de criptomoeda que usa o poder da CPU ou GPU e os recursos existentes da vítima para gerar criptomoedas – adicionando transações de blockchain e gerando novas moedas. Coinhive compete.

Pónei – O Pony é um Info Stealer mal-intencionado, projetado principalmente para extrair dados do usuário de plataformas infectadas que executam o Windows e também é conhecido como Pony Stealer, Pony Loader, FareIT e muito mais. O Pony foi criado em 2011 e em 2013 seu código fonte foi lançado ao público, permitindo o desenvolvimento de versões descentralizadas. Além da funcionalidade do Stealer, os recursos do Pony permitem que os invasores monitorem as atividades do sistema e da rede do usuário, “baixem” e instalem malware adicional e até infectem computadores adicionais criando uma rede de bots. Devido à sua natureza, o Pony foi explorado por muitas operadoras.

Lokibot – O Lokibot é um software de phishing de informações que é enviado principalmente por e-mail (phishing) e é usado para espionar dados como credenciais de e-mail, além de senhas em carteiras de criptomoedas eletrônicas e servidores FTP.

Hawkeye – Hawkeye é um Info Stealer malicioso, projetado principalmente para extrair dados do usuário de plataformas infectadas que executam o Windows. Nos últimos meses, o Hawkeye melhorou e agora inclui recursos de registro de chaves, além de roubo de e-mail e navegador da web. Muitas vezes, é comercializado como MaaS (Malware como Serviço) por meio de várias técnicas de cadeia de infecção.

AgentTesla O AgentTesla é um RAT avançado que funciona como um keylogger e um software de rastreamento de senhas que infectam computadores desde 2014. O AgentTesla tem a capacidade de rastrear e coletar entradas de teclado de vítimas e de teclado do sistema, receber capturas de tela e exibir credenciais do software instalado na máquina da vítima (incluindo o cliente de e-mail Google Chrome, Mozilla Firefox e Microsoft Outlook). O AgentTesla é vendido como um RAT legal, com as partes interessadas pagando entre US $ 15 e US $ 69 por uma licença de usuário.

JSEcoin – Software de produção JavaScript que pode ser integrado a sites. Com o JSEcoin, você pode executar o software de produção diretamente no navegador em troca de uma experiência de navegação sem anúncios, moedas de jogos e outros incentivos.

Emotes – Trojan modular avançado que se reproduz. O Emotet já serviu como um cavalo de Tróia por espionar contas bancárias e foi recentemente usado para distribuir outros malwares ou campanhas de malware. Ele usa muitos métodos e técnicas de prevenção para permanecer no sistema e evitar a detecção. Além disso, ele pode ser disseminado por e-mails indesejados (phishing) que contêm anexos ou links para conteúdo malicioso.

Dorkbot – WC baseado em IRC, projetado para permitir a execução remota de código por seu operador, além de baixar malware adicional no sistema infectado, com o objetivo principal de interceptar informações confidenciais e realizar ataques de negação de serviço.

Sload

XMRig – O XMRig é um software de mineração de CPU de código aberto usado para o processo de produção da criptomoeda Monero e foi lançado pela primeira vez em maio de 2017.

Família Malware

Impacto global

Influência Grécia

Cryptoloot

5,49%

15,50%

Pónei

1,74%

13,98%

Lokibot

1,74%

13,98%

Hawkeye

1,48%

12,77%

AgentTesla

2,21%

11,25%

Jsecoin

3,93%

7,90%

Emoções

3,62%

6,38%

Dorkbot

3,31%

5,78%

Sload

0,59%

5,17%

XMRig

4,08%

5,17%

O mapa ThreatCloud de Check Point e o mapa Check Point ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede de cooperação em crimes cibernéticos que fornece dados sobre ameaças e tendências em ataques, explorando uma rede global. detectores de ameaças.

O banco de dados do ThreatCloud inclui mais de 250 milhões de endereços de análise de bots, mais de 11 milhões de assinaturas de malware e mais de 5,5 milhões de sites infectados e reconhece milhões de tipos de malware diariamente.

As fontes de prevenção de ameaças da Check Point estão disponíveis em:

http://www.checkpoint.com/threat-prevention-resources/index.html