Check Point: Principais Malwares na Grécia Abril de 2019

Pesquisadores da Check Point confirmam o retorno do Trojan Trickbot, após dois anos de ausência, à lista dos dez malwares mais comuns

A Check Point Research, divis√£o de pesquisa da Check Point Software Technologies Ltd., fornecedora l√≠der de solu√ß√Ķes de seguran√ßa cibern√©tica em todo o mundo, publicou seu mais recente Cat√°logo Global de Amea√ßas para abril de 2019. Como se v√™, o trojan banc√°rio Trickbot voltou aos dez primeiros. pela primeira vez em quase dois anos.

Ponto de verificação

Trojans banc√°rios multiuso, como o Trickbot, s√£o op√ß√Ķes populares para cibercriminosos que buscam ganhos financeiros.

As campanhas do Trickbot aumentaram acentuadamente em abril, com v√°rias delas sendo implementadas durante o per√≠odo em que a entrega de declara√ß√Ķes de imposto de renda individuais aos Estados Unidos foi conclu√≠da.

Por meio das campanhas de spam que foram realizadas, foram compartilhados arquivos do Excel que “baixaram” o Trickbot para os computadores das v√≠timas. O Trojan ent√£o se espalhou para v√°rias redes, coletou dados banc√°rios e possivelmente extraiu documentos fiscais para uso ilegal.

Enquanto os tr√™s malwares mais comuns em abril eram cryptominers, os sete restantes, dos dez primeiros, eram trojans multiuso. Isso destaca as mudan√ßas nas pr√°ticas usadas pelos criminosos para maximizar seus benef√≠cios econ√īmicos com as campanhas, ap√≥s o fechamento de v√°rios servi√ßos populares de criptografia e a queda no valor de v√°rias criptomoedas nos √ļltimos anos.

Maya Horowitz, diretora de informa√ß√Ķes e pesquisas de amea√ßas da Check Point, comentou: “Este m√™s, tanto o Trickbot quanto o Emotet estavam na lista dos dez malware mais comuns.

Isso é particularmente preocupante, pois atualmente essas duas redes de bots são usadas não apenas para roubar dados pessoais dos usuários, mas também para espalhar o Ryuk ransomware. O infame Ryuk tem como alvo ativos como bancos de dados e servidores de backup, exigindo um resgate de mais de US $ 1 milhão.

Como esses programas maliciosos est√£o mudando constantemente, √© vital que tenhamos uma forte linha de defesa com recursos avan√ßados de preven√ß√£o de amea√ßas “.

As três ameaças de malware mais comuns em abril de 2019:

* As setas indicam uma alteração na classificação em comparação com o mês anterior.

  1. E Cryptoloot – Software de produ√ß√£o de criptomoeda que usa o poder da CPU ou GPU e os recursos existentes da v√≠tima para criptomina√ß√£o – adicionando transa√ß√Ķes de blockchain e gerando novas moedas. O Coinhive concorre, tentando substitu√≠-lo, solicitando uma porcentagem menor de receita dos sites.
  2. E XMRig РO XMRig é um software de mineração de CPU de código aberto para o processo de produção da criptomoeda Monero, lançado pela primeira vez em maio de 2017.
  3. ‚ÜĎ JSEcoin – Software de minera√ß√£o JavaScript que pode ser incorporado em sites. Com o JSEcoin, voc√™ pode executar o software de minera√ß√£o diretamente no navegador em troca de uma experi√™ncia de navega√ß√£o sem an√ļncios, moedas de jogos e outros incentivos.

Em abril, o Triada se tornou o malware mais popular para telefones celulares, substituindo o Hiddad no topo da lista dos principais malwares móveis. Lotoor ficou em segundo lugar, com Hiddad caindo para terceiro.

As três ameaças de malware mais comuns para dispositivos móveis em abril:

  1. Triada РBackdoor móvel para Android que atribui direitos de superusuário a malware baixado, ajudando-o a integrar-se nos processos do sistema. Também foi encontrado que o Triada distorce os URLs carregados no navegador.
  2. LoteriaРFerramenta de cibercrime (hacking) que explora vulnerabilidades no sistema operacional Android para obter acesso root a dispositivos móveis violados.
  3. Hiddad – Software Android malicioso que reembala aplicativos leg√≠timos e os disponibiliza em uma loja de terceiros. Sua principal fun√ß√£o √© exibir an√ļncios; no entanto, tamb√©m √© poss√≠vel obter acesso a importantes recursos de seguran√ßa integrados ao sistema operacional, permitindo que um invasor obtenha dados confidenciais do usu√°rio.

Os pesquisadores da Check Point tamb√©m analisaram as vulnerabilidades cibern√©ticas mais frequentemente exploradas. A divulga√ß√£o de informa√ß√Ķes de pulsa√ß√£o do OpenSSL TLS DTLS est√° no topo, afetando 44% das organiza√ß√Ķes em todo o mundo. Pela primeira vez em 12 meses, a vulnerabilidade CVE-2017-7269 ficou em segundo lugar, afetando 40% das organiza√ß√Ķes em todo o mundo, enquanto a vulnerabilidade CVE-2017-5638 ocupa a terceira posi√ß√£o, afetando 38% das organiza√ß√Ķes em todo o mundo.

As tr√™s vulnerabilidades “mais exploradas” em abril:

  1. ‚ÜĎ Divulga√ß√£o de informa√ß√Ķes de pulsa√ß√£o do OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade √† divulga√ß√£o de informa√ß√Ķes que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes de pulsa√ß√£o TLS / DTLS. Um invasor pode explorar essa vulnerabilidade para revelar o conte√ļdo da mem√≥ria de um cliente-servidor ou sistema de servidor conectado.
  2. ‚Üď Estouro de buffer do Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) – Enviando uma solicita√ß√£o interna atrav√©s de uma rede para o Microsoft Windows Server 2003 R2 via Microsoft Internet Information Services 6.0, um invasor remoto pode executar um terceiro c√≥digo ou causar condi√ß√Ķes de nega√ß√£o de servi√ßos ao servidor de destino. Isso ocorre principalmente devido a uma vulnerabilidade do estouro de mem√≥ria intermedi√°ria, causada pela valida√ß√£o incorreta de um cabe√ßalho grande em uma solicita√ß√£o HTTP.
  3. E Apache Struts2 Conte√ļdoTipo Controlo remoto C√≥digo Execu√ß√£o (CVE-2017-5638) – H√° uma vulnerabilidade na execu√ß√£o remota de c√≥digo no Apache Struts2 que utiliza o desenvolvedor de v√°rios n√≥s, Jacarta. Um invasor pode explorar essa vulnerabilidade enviando um tipo de conte√ļdo inv√°lido como parte de uma solicita√ß√£o de arquivo.A explora√ß√£o bem-sucedida da vulnerabilidade pode levar √† execu√ß√£o arbitr√°ria de c√≥digo no sistema afetado.

* A lista completa das 10 ameaças de malware mais comuns na Grécia para abril é:

Cryptoloot – Software de produ√ß√£o de criptomoeda que usa o poder da CPU ou GPU e os recursos existentes da v√≠tima para gerar criptomoedas – adicionando transa√ß√Ķes de blockchain e gerando novas moedas. Coinhive compete.

P√≥nei – O Pony √© um Info Stealer mal-intencionado, projetado principalmente para extrair dados do usu√°rio de plataformas infectadas que executam o Windows e tamb√©m √© conhecido como Pony Stealer, Pony Loader, FareIT e muito mais. O Pony foi criado em 2011 e em 2013 seu c√≥digo fonte foi lan√ßado ao p√ļblico, permitindo o desenvolvimento de vers√Ķes descentralizadas. Al√©m da funcionalidade do Stealer, os recursos do Pony permitem que os invasores monitorem as atividades do sistema e da rede do usu√°rio, “baixem” e instalem malware adicional e at√© infectem computadores adicionais criando uma rede de bots. Devido √† sua natureza, o Pony foi explorado por muitas operadoras.

Lokibot – O Lokibot √© um software de phishing de informa√ß√Ķes que √© enviado principalmente por e-mail (phishing) e √© usado para espionar dados como credenciais de e-mail, al√©m de senhas em carteiras de criptomoedas eletr√īnicas e servidores FTP.

Hawkeye – Hawkeye √© um Info Stealer malicioso, projetado principalmente para extrair dados do usu√°rio de plataformas infectadas que executam o Windows. Nos √ļltimos meses, o Hawkeye melhorou e agora inclui recursos de registro de chaves, al√©m de roubo de e-mail e navegador da web. Muitas vezes, √© comercializado como MaaS (Malware como Servi√ßo) por meio de v√°rias t√©cnicas de cadeia de infec√ß√£o.

AgentTesla O AgentTesla é um RAT avançado que funciona como um keylogger e um software de rastreamento de senhas que infectam computadores desde 2014. O AgentTesla tem a capacidade de rastrear e coletar entradas de teclado de vítimas e de teclado do sistema, receber capturas de tela e exibir credenciais do software instalado na máquina da vítima (incluindo o cliente de e-mail Google Chrome, Mozilla Firefox e Microsoft Outlook). O AgentTesla é vendido como um RAT legal, com as partes interessadas pagando entre US $ 15 e US $ 69 por uma licença de usuário.

JSEcoin – Software de produ√ß√£o JavaScript que pode ser integrado a sites. Com o JSEcoin, voc√™ pode executar o software de produ√ß√£o diretamente no navegador em troca de uma experi√™ncia de navega√ß√£o sem an√ļncios, moedas de jogos e outros incentivos.

Emotes – Trojan modular avan√ßado que se reproduz. O Emotet j√° serviu como um cavalo de Tr√≥ia por espionar contas banc√°rias e foi recentemente usado para distribuir outros malwares ou campanhas de malware. Ele usa muitos m√©todos e t√©cnicas de preven√ß√£o para permanecer no sistema e evitar a detec√ß√£o. Al√©m disso, ele pode ser disseminado por e-mails indesejados (phishing) que cont√™m anexos ou links para conte√ļdo malicioso.

Dorkbot – WC baseado em IRC, projetado para permitir a execu√ß√£o remota de c√≥digo por seu operador, al√©m de baixar malware adicional no sistema infectado, com o objetivo principal de interceptar informa√ß√Ķes confidenciais e realizar ataques de nega√ß√£o de servi√ßo.

Sload

XMRig РO XMRig é um software de mineração de CPU de código aberto usado para o processo de produção da criptomoeda Monero e foi lançado pela primeira vez em maio de 2017.

Família Malware

Impacto global

Influência Grécia

Cryptoloot

5,49%

15,50%

Pónei

1,74%

13,98%

Lokibot

1,74%

13,98%

Hawkeye

1,48%

12,77%

AgentTesla

2,21%

11,25%

Jsecoin

3,93%

7,90%

Emo√ß√Ķes

3,62%

6,38%

Dorkbot

3,31%

5,78%

Sload

0,59%

5,17%

XMRig

4,08%

5,17%

O mapa ThreatCloud de Check Point e o mapa Check Point ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede de cooperação em crimes cibernéticos que fornece dados sobre ameaças e tendências em ataques, explorando uma rede global. detectores de ameaças.

O banco de dados do ThreatCloud inclui mais de 250 milh√Ķes de endere√ßos de an√°lise de bots, mais de 11 milh√Ķes de assinaturas de malware e mais de 5,5 milh√Ķes de sites infectados e reconhece milh√Ķes de tipos de malware diariamente.

As fontes de prevenção de ameaças da Check Point estão disponíveis em:

http://www.checkpoint.com/threat-prevention-resources/index.html