O malware mais temido de novembro de 2020: o Botnet Phorpiex retorna como a infeção mais impactante

A Check Point Research reporta nova vaga de ataques utilizando o Botnet Phorpiex, responsável por disseminar outros ransomwares e campanhas maliciosas de spam

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, acaba de publicar o mais recente o Índice Global de Ameaças de Novembro de 2020, que apresenta uma nova vaga de infeções causada pelo já conhecido Phorpiex, o botnet mais comum de novembro, responsável por impactar 4% das organizações a nível global. A última vez que o Phorpiex foi detetado constava do top 10 de ameaças de junho deste ano.

O Phorpiex foi reportado pela primeira vez em 2010 e, no seu pico, controlou mais de um milhão de dispositivos infetados. Conhecido por distribuir outras famílias de malware via spam e disseminar em larga escala campanhas de “sextortion” e de cryptomining, o Phorpiex continua a espalhar o ransomware Avaddon, tal como aconteceu no início deste ano. O Avaddon é uma variante relativamente recente de Ransomware-as-a-Service (RaaS), e os seus operadores estão de novo a recrutar afiliados que distribuam o ransomware por uma parte dos lucros. O Avaddon tem sido distribuído via JS e ficheiros Excel como parte integrante de uma campanha de malspam capaz de encriptar uma grande variedade de tipos de ficheiros.

“O Phorpiex é dos botnets mais velhos e mais persistentes, e tem sido usado pelos seus criadores para distribuir outros malware como o GandCrab e o Avaddon, ou para campanhas de sextortion. Esta nova vaga de infeções está agora a disseminar outra campanha de ransomware, que demonstra justamente quão eficaz o Phorpiex é,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point. “As organizações devem sensibilizar os seus colaboradores para a identificação de potenciais campanhas de malspam, acautelando-os também para anexos suspeitos ou desconhecidos em e-mails, mesmo que provenham de fontes confiáveis. Devem ainda garantir soluções de segurança que protejam ativamente as suas redes.”

A equipa de investigação alerta ainda para a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, a vulnerabilidade mais explorada de novembro, responsável por impactar 54% das organizações a nível global, seguida da “MVPower DVR Remote Code Execution”, que afetou 48% das organizações em todo o mundo e, em terceiro lugar, com um impacto de 44%, para o “Dasan GPON Router Authentication Bypass (CVE-2018-10561)”.

Top de famílias malware de novembro em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior 

Este mês, o Phorpiex é o malware mais popular com um impacto global de 4% nas organizações, seguido de perto pelo Dridex e pelo Hiddad, ambos com um impacto global de 3%. A nível nacional, o Dridex lidera, com um impacto de 12% das organizações, seguido do Emotet e, em terceiro lugar, o Phorpiex, ambos responsáveis por impactar 6% das organizações em Portugal.

1. ↑ Phorpiex – Phorpiex é um botnet conhecido por distribuir outras famílias malware via campanhas de spam, bem como disseminar em larga escala campanhas de Sextortion.
2. ↑ Dridex - Troiano bancário que tem como alvo plataformas Windows, difundidas por campanhas spam e Exploit Kits, suportados em WebInjects, que intercetam e redirecionam credenciais bancários para servidores controlados por atacantes. O Dridex contact um servidor remoto, envia informação sobre o sistema infectado e pode também fazer download e executar módulos adicionais para controlo remoto. 
3. ↔ Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
   

Top de vulnerabilidades exploradas 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior  

Este mês, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade mais comummente explorada, impactando 54% das organizações a nível global, seguida da MVPower DVR Remote Code Execution”, responsável por impactar 48% das organizações de todo o mundo e, por fim, a “Dasan GPON Router Authentication Bypass (CVE-2018-10561), com um impacto de 44%. 

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
2. ↓ MVPower DVR Remote Code Execution - Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 
3. ↓Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação  bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado. 
   

Top Mobile Malwares

Este mês, o Hiddad manteve-se o malware para mobile mais prevalente, seguido pelo xHelper e, em terceiro lugar, o Lootor. 

1. Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
2. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
3. Lotoor – é uma ferramenta de hacking que explora vulnerabilidades nos sistemas operativos Android de forma a adquirir privilégios de acesso a dispositivos móveis comprometidos.
   

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de setembro pode ser encontrada no Blog da Check Point.  

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html