O malware mais temido de julho: Snake Keylogger impactou 10% das organizações em Portugal

Snake Keylogger ascende ao top 3 de ameaças no seguimento de uma campanha de phishing particularmente intensa

Capaz de roubar todo o tipo de informação, o Snake está à venda em fóruns de hacking por preços que começam nos 25 dólares

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a julho de 2021. Apesar de não haver alterações no lugar cimeiro do top mundial – o Trickbot continua a ser o malware mais prevalente –, há novidades entre as 10 ameaças mais comuns do mês passado. Snake Keylogger, detetado pela primeira vez em novembro de 2020, alcançou o segundo lugar da lista no seguimento de uma intensa campanha de phishing. Em Portugal, esta foi mesmo a ameaça mais perigosa, com um impacto de 10% das organizações.

O Snake Keylogger é um keylogger modular .NET também conhecido por roubar credenciais. A sua função primordial é gravar o registo de teclas de computadores ou dispositivos móveis, e transmitir a informação recolhida aos atacantes. Nas últimas semanas, o Snake tem crescido significativamente através de campanhas de phishing via e-mail com diferentes temáticas que se disseminam por vários países e setores de negócio.

Uma infeção deste malware representa uma grande ameaça para a privacidade e segurança online dos utilizadores, já que o Snake é capaz de roubar todo o tipo de informação, sendo particularmente evasivo e persistente. Existem, de momento, fóruns de hacking onde o Snake Keylogger está disponível para compra, variando entre os 25 e os 500 dólares, dependendo do nível de serviços oferecidos.

Estes ataques são particularmente perigosos, uma vez que os utilizadores tendem a definir a mesma palavra-passe e nome de utilizador para várias contas, o que significa que, assim que as credenciais de acesso de uma conta são divulgadas para o atacante, todas as outras que utilizem os mesmos dados estão acessíveis. Para minimizar os potenciais efeitos de um ataque deste género, é essencial ter diferentes dados de acesso para as várias contas. Contar com um gestor de palavras-passe pode ser uma solução, já que este permite tanto a gestão como a definição de combinações robustas de acesso para cada plataforma.

“Sempre que possível, os utilizadores devem reduzir a confiança nas meras palavras-passe, implementando antes, por exemplo, a Autenticação Multi-factor ou a tecnologia Single Sign On,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “Quando se trata de políticas de palavra-passe, escolher uma passe forte e única para cada plataforma é o melhor conselho, para que mesmo que os atacantes consigam aceder, não tenham acesso a múltiplas contas. Keyloggers como o Snake são frequentemente distribuídos através de e-mails de phishing, pelo que é essencial que os utilizadores estejam atentos a pequenos sinais, como erros ortográficos em links e endereços de e-mail, e estejam sensibilizados para práticas básicas, como nunca clicar em ligações suspeitas ou abrir quaisquer anexos desconhecidos".

A CPR revelou ainda que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada este mês, com um impacto de 45% das organizações no mundo. Seguiu-se a “HTTP Headers Remote Code Execution”, responsável por impactar 44% das organizações a nível global e, em terceiro lugar, a “MVPower DVR Remote Code Execution”, com um impacto global de 42%.

Top de famílias malware de julho

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o Trickbot foi o malware mais popular, com um impacto em 4% das organizações a nível mundial. Seguiram-se o Snake Keylogger e o XMRig, com um impacto de 3% cada.

Em Portugal, a lista alterou-se ligeiramente, com o Snake Keylogger a ocupar o primeiro lugar, com um impacto de 10% das organizações nacionais. Em segundo lugar, esteve o XMRig, responsável por impactar 6% das organizações portuguesas. O Crackonosh, um malware de mineração de criptomoeda que se mantém nos dispositivos através da desinstalação de softwares de segurança e da desativação de atualizações do Windows, teve uma prevalência de 4% entre as organizações portuguesas. Ao contrário do que se verifica na lista global, em Portugal, o Trickbot não consta do top 3 de malware.

1. ↔ Trickbot – O Trickbot é um Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. ↑ Snake Keylogger – Keylogger modular .NET também conhecido por roubar credenciais, identificado pela primeira vez em novembro de 2020. A sua funcionalidade primária é o registo de teclas e a transmissão dos dados recolhidos para os atacantes.
3. ↓ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.

Top de vulnerabilidades exploradasEm julho, “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 45% das organizações, seguido da “HTTP Headers Remote Code Execution”, responsável por impactar 44% das organizações a nível mundial. Seguiu-se a “MVPower DVR Remote Code Execution”, com um impacto global de 42%.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
2. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – O HTTP Headers permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um HTTP Header vulnerável para correr qualquer código no dispositivo da vítima.
3. ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.

Top malware para dispositivos móveis

Este mês, o primeiro lugar foi ocupado pelo xHelper. Seguiu-se o AlienBot e o Hiddad.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite o atacante, numa primeira fase, injetar um código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o seu dispositivo.
3. Hiddad – O Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloudTM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 3 mil milhões de websites e 600 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de julho pode ser encontrada no Blog da Check Point.