Trojan Bancário IcedID já afetou 6% das empresas portuguesas

O trojan bancário IcedID estreia-se no top de ameaças a nível global e nacional, no seguimento de uma campanha maliciosa de e-mail relacionada com a COVID-19

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, acaba de publicar o mais recente Índice Global de Ameaças de março de 2021. Estreia-se no topo de ameaças global o Trojan bancário IcedID, famoso por roubar informações financeiras dos utilizadores através de anexos maliciosos disseminados por e-mail. Em Portugal, contudo, antes do IcedID, destacou-se em primeiro lugar o XMRig, software de mineração de CPU open-source utilizado para extrair criptomoeda, responsável por impactar 7% das organizações nacionais.

Visto pela primeira vez em 2017, o IcedID tem-se disseminado rapidamente através de várias campanhas de spam. Uma das mais difundidas recorreu à temática da COVID-19 para incitar as vítimas a abrir os anexos enviados no e-mail – a maior parte destes são documentos Word com um macro malicioso utilizado para implementar um instalador do IcedID. Uma vez instalado, o trojan procura roubar detalhes de conta, credenciais de pagamento e outras informações sensíveis do computador do utilizador. O IcedID utiliza ainda malware para proliferar e tem sido ainda a fase inicial de infeção em operações de ransomware. Em Portugal, o IcedID já impactou 6% das organizações.

"O IcedID já existe há alguns anos, mas, recentemente, tem sido amplamente utilizado, mostrando que os ciber-criminosos continuam a adaptar as suas técnicas para explorar organizações, utilizando a pandemia como disfarce", afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. "O IcedID é um trojan particularmente evasivo que utiliza um conjunto variado de técnicas para roubar dados financeiros, pelo que as organizações devem assegurar-se de que dispõem de sistemas de segurança robustos para evitar que as suas redes sejam comprometidas e minimizar os riscos. Uma forma de o fazer é investir em formação abrangente para todos os funcionários, para que estes estejam equipados com as competências necessárias para identificar os tipos de e-mails maliciosos que difundem IcedID ou qualquer outro malware, na verdade."

A Check Point Research alerta ainda para a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, a vulnerabilidade mais frequentemente explorada em março, com um impacto global de 45%. Seguiu-se a “MVPower DVR Remote Code Execution” e a “Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, ambas com um impacto global de 44%.

Top de famílias malware de março em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o malware mais popular a nível global foi o Dridex, impactando 16% das organizações. Em segundo e terceiro lugares, seguiram-se o IcedID e o Lokibot, com um impacto global de 11% e 9% respetivamente. A nível nacional, em primeiro lugar esteve o XMRig, responsável por impactar 7% das organizações. Seguiu-se o IcedID e o Qbot, ambos com um impacto de 6%.

1. ↑ Dridex – O Dridex é um Trojan que ataca plataformas Windows e é alegadamente descarregado através de um anexo de e-mail de spam. A Dridex contacta um servidor remoto e envia informações sobre o sistema infetado. Também pode descarregar e executar módulos arbitrários recebidos do servidor remoto.
2. ↑ IcedID – O IcedID é um trojan bancário distribuído via campanhas de spam de e-mail e utiliza técnicas evasivas como injeção de processos e estenografia para roubar informação financeira dos utilizadores.
3. ↑ Lokibot – O Lokibot é um InfoStealer distribuído principalmente através de e-mails de phishing e utilizado para roubar dados sensíveis, como credenciais de e-mail, palavras-passe para wallets de Criptomoeda e servidores FTP.

Top de vulnerabilidades mais exploradas

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, a “HTTP Headers Remote Code Execution (CVE-2020-13756)” foi a vulnerabilidade mais explorada, com um impacto global de 45% das organizações, seguida da “MVPower DVR Remote Code Execution” e da “Dasan GPON Router Authentication Bypass”, ambas com um impacto de 44% a nível mundial.

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – o HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
2. ↑ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.

Top de famílias malware em dispositivos móveis

Este mês, o top de famílias malware em dispositivos móveis não sofreu alterações. Em primeira posição menteve-se o Hiddad, seguido do xHelper e do Furball.

1. Hiddad - o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.
2. xHelper - É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
3. FurBall - O FurBall é um MRAT (Mobile Remote Access Trojan) para Android, disseminado pelo APT-C-50, um grupo iraniano APT ligado ao governo do Irão. Foi utilizado em múltiplas campanhas datadas de 2017, estando ativo ainda hoje. As capacidades do FurBall incluem o roubo de mensagens SMS, registos telefónicos, gravação de ambiente e de chamadas, roubo de ficheiros media, acesso a localização e muito mais.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de combate ao o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de março pode ser encontrada no blog da Check Point Software.