O Malware mais temido de julho de 2020: após 5 meses desaparecido, Emotet ataca de novo

Investigadores da Check Point revelam um aumento acentuado de campanhas de spam com o botnet Emotet, que, depois de um período de inatividade, tenta o roubo de credenciais bancárias, visando espalhar-se em redes específicas

A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o mais recente Índice Global de Ameaças de Julho 2020. Os investigadores revelam que, após um período de 5 meses de inatividade, o Emotet está de volta ao 1º lugar do Índice, impactando 5% das organizações a nível global.

Desde Fevereiro do presente ano, as atividades do Emotet – que consistiam no envio de campanhas de malspam – foram diminuindo, até pararem completamente, reemergindo agora em julho. Este padrão já fora observado em 2019, quando o botnet Emotet cessou atividade durante o verão, retomando em setembro.

Em julho, o Emotet difundiu campanhas de malspam, infetando as suas vítimas com TrickBot e Qbot, utilizados para roubar credenciais bancárias e para se espalhar em redes. Algumas das campanhas de malspam continham ficheiros maliciosos com nomes como “form.doc” ou “invoice.doc”. De acordo com os investigadores, os documentos maliciosos iniciam um PowerShell que extrai o binário Emotet de websites remotos, infetando máquinas e adicionando-as ao botnet. A retoma de atividade do Emotet confirma a escala e poder globais do vírus.

“É interessante, o Emotet esteve dormente por vários meses no início deste ano, repetindo o padrão que observamos pela primeira vez em 2019. Podemos assumir que os programadores por detrás do botnet estiveram a atualizar as suas capacidades e funcionalidades. Estando ativo novamente, as organizações devem sensibilizar os seus colaboradores para a identificação dos tipos de malspam que trazem estas ameaças, advertendo-os para os riscos de abrir anexos de e-mails ou clicar em links de fontes externas. As empresas devem também considerar a implementação de soluções anti-malware que possam impedir que este género de conteúdos cheguem aos utilizadores finais”, afirma Maya Horowitz, Diretora de Threat Intelligence & Research, Products na Check Point.

A equipa de investigação alerta ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade mais frequentemente explorada este mês, com um impacto de 44% em organizações a nível global, seguida do “OpenSSL TLS DTLS Heartbeat Information Disclosure”, com um impacto de 42%. Em terceiro lugar, com um impacto de 38%, o “Command Injection Over HTTP Payload”.

Top de famílias malware de Julho em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o Emotet subiu ao primeiro lugar, com um impacto global de 5,45% e nacional de 10,74%; seguido pelo Dridex, cujo impacto global foi de 4% e nacional de 5,83%. Em terceiro lugar, encontra-se o Agent Tesla, que globalmente afetou 3,89% das organizações e, a nível nacional, 6,86%.

1. ↑ Emotet - Trojan modular e de auto-propagação. O Emotet costumava ser usado como um banking trojan e evoluiu para se tornar um distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, ele pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↓Dridex – Trojan bancário que tem como alvo, plataformas Windows, difundidas por campanhas spam e Exploit Kits, suportados em WebInjects, que intercetam e redirecionam credenciais bancários para servidores controlados por atacantes. O Dridex contact um servidor remoto, envia informação sobre o sistema infectado e pode também fazer download e executar módulos adicionais para controlo remoto.
3. ↑ Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook).

Top Global de famílias de malware

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais frequentemente explorada, com um impacto de 44% em organizações a nível global, seguida do “OpenSSL TLS DTLS Heartbeat Information Disclosure”, com um impacto de 42%. Em terceiro lugar, com um impacto de 38%, o “Command Injection Over HTTP Payload”.

1. ↑ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe no OpenSSL uma vulnerabilidade na divulgação de informação. Esta deve-se a um erro relativo aos TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectados.
3. ↑ Command Injection Over HTTP Payload – Uma vulnerabilidade de controlo do HTTP foi reportada. Um atacante remoto pode explorar esta fragilidade ao enviar uma solicitação especialmente criada pela vítima. Se tiver sucesso, será capaz de executar códigos arbitrários na máquina alvo.

Top de famílias malware em dispositivos móveis

Este mês o xHelper foi o malware mais popular, seguido do Necro e do PreAMo.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. Necro – Necro é um Trojan Dropper para Android. Consegue efetuar o download de outro malware, mostrando anúncios intrusivos e roubar dinheiro ao cobrar subscrições pagas.
3. PreAMo – um malware de Android que engana o utilizador, através de banners de três agências de publicidade – Presage, Admob e Mopub.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, ideintificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de Maio pode ser encontrada no Blog da Check Point.

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html