Emotet é agora o sétimo malware mais prevalente, diz Check Point Research

A Check Point Research revela que o Emotet é agora o sétimo malware mais  prevalente,  e seu retorno é considerado “extremamente  preocupante”. Trickbot mais uma vez em primeiro lugar. Educação e Pesquisa ainda lideram a lista de alvos dos hackers.

Nosso mais recente Índice Global de Ameaças  para  novembro  de 2021  revela que,  enquanto o Trickbot  permanece no topo da lista de malware mais prevalente,  afetando  5%  das  organizações em todo o mundo,  o  recente  Emotet resurgente  está  de volta  ao  índice na  sétima  posição. A RCP  também revela que  a  indústria  mais  atacada é a Educação/Pesquisa.

Apesar dos grandes  esforços  da  Europol  e  de várias  agências  de aplicação da  lei no início  deste  ano  para  derrubar  Emotet,  a  famosa  botnet  foi  confirmada de   volta  à ação  até    novembro  e  já  é  o  sétimo malware mais  utilizado.   Trickbot  lidera  o  índice pela    sexta  vez  este  mês,  e  está  mesmo  envolvido  com  a  nova  variante  do  Emotet,  que  está  sendo  instalada  em  máquinas infectadas    usando  Infraestrutura trickbot  .

O Emotet está  sendo espalhado através de  e-mails de phishing  que  contêm  arquivos infectados do   Word, Excel  e Zip que  implantam  Emotet  no host da  vítima.  Os  e-mails  contêm  linhas de assunto  intrigantes,  como  eventosde   notícias atuais, faturas  e  memorandos   corporativos falsos para  atrair  as  vítimas  para    abri-las. Mais  recentemente,  o Emotet  também  começou a  se espalhar  através de   pacotes  maliciosos  do Windows App Installer  fingindo  ser o software da Adobe.

A Emotet   é  uma   das    botnets  mais  bem sucedidas da  história  da    cibersegurança  e  é  responsável  pela  explosão de ataques  de  ransomware  direcionados  que  testemunhamos    nos  últimos  anos. O  retorno da botnet  em  novembro  é  extremamente  preocupante,  pois  pode  levar  a  um  aumento adicional  nesses    ataques. O  fato    de estar    usando a infraestrutura  da Trickbot  significa  que  está  encurtando  o tempo que a Emotet levaria  para    construir uma  base significativa  o suficiente em redes ao  redor  do  mundo. Como  está  sendo espalhado através de  e-mails de phishing  com  anexos maliciosos, é crucial  que a conscientização  e  educação do  usuário  esteja  no  topo  das  listas de  prioridades das  organizações  quando  se trata  à  segurança cibernética. E  quem  quiser    baixar o software da Adobe  deve  se lembrar,como  em  qualquer   aplicativo, de ir apenas  por  meios oficiais.

A RCP também  revelou  este  mês  que aEducação/Pesquisa  é  a  indústria  mais  atacada  do mundo,  seguida  por  Comunicações  e  Governo/Militar. “Web Servers  Malicious   URL   Directory    Traversal”  ainda  é a  vulnerabilidade mais  explorada,   impactando  44%  das  organizações  globalmente, seguida pelo  “Web Server  Exposed  Git  Repository   Divulgação deinformações ”  que  afeta  43,7%  das  organizações em todo o mundo” HTTP  Headers  Remote  Code  Execution”  permanece  em  terceiro  lugar  na    lista de  vulnerabilidades mais exploradas,   com um impacto  global  de  42%.

Principais famílias de malware

*As setas  referem-se  à  mudança  de classificação em  relação    ao  mês anterior .

Este mês,  trickbot  é  o malware  mais  popular que impacta  5%  das  organizações em todo o mundo,  seguido  pelo Agente Tesla  e  Formbook,  ambos  com um impacto  global  de  4%.

1. ↔ Trickbot  –  Trickbot  é um Botnet  modular  e Trojan Bancário  constantemente  sendo  atualizado  com  novos  recursos,  recursos  e  vetores de distribuição.  Isso  permite que  o  Trickbot  seja  um  malware  flexível  e  personalizável que  pode  ser  distribuído  como  parte  de  campanhas multiuso.
2. ↑ Agente Tesla – Agente Tesla  é  um  RAT  avançado funcionando  como um  keylogger  e  ladrão de   informações, que é  capaz de monitorar  e  coletar  a entrada do teclado da vítima, teclado do sistema,  tirar  capturas de tela,  e   exfiltração de  credenciais  para  uma  variedade  de  software  instalado  na   máquina da vítima  (incluindo  Google Chrome, Mozilla Firefox  e  Microsoft Outlook.)
3. ↑ Formbook  –  Formbook  é  um  InfoStealer  que  coleta  credenciais de vários  navegadores da Web, coleta capturas   de  tela,  monitores  e  logs teclas e  pode  baixar  e executar arquivosde  acordo com    seus Pedidos da C&C.
4. ↔ Glupteba  –  Glupteba  é  um  backdoor  que  gradualmente  amadureceu  em  uma  botnet. Em  2019,  incluiu um mecanismo de atualização de  endereços  da C&C  através de  listas públicas  da BitCoin,   um  recurso de roubo integral de navegador  e  um  explorador de roteador.
5. ◗ Remcos  –  Remcos  é um RAT  que  apareceu pela primeira vez  na    natureza  em 2016. A Remcos  se distribui através de documentos  maliciosos  do Microsoft Office  que  são      anexados   a e-mails de spam,   e foi projetado para contornar  a segurança  do Microsoft Windows UAC  e  executar malware  com  alta.   privilégios denível.
6. ◗ XMRig  –  XMRig  é  um software de mineração de CPU decódigo  aberto usado  para  o processo de mineração  da    criptomoeda Monero ,  e  visto pela primeira vez  em-o-selvagem em maio de 2017.
7. ↑ Emotet  –  Emotet  é  um Trojan avançado,auto-propagador,modular. Uma vez  usado como trojan bancário, o Emotet  está  sendo  usado  recentemente  como distribuidor    para  outros  malwares  ou campanhas maliciosas  . Ele usa  múltiplos métodos para  manter  técnicas de persistência  e evasão     para evitar  a  detecção. Além  disso,  pode  ser  espalhado através de e-mails de spam de phishing  contendo anexos ou links maliciosos.
8. ◗ Ramnit  –  Ramnit  é um Trojan bancário  que rouba credenciais bancárias,   senhasFTP,  cookies de  sessão e dados pessoais.
9. ↑ Floxif  –  Floxif  é  um ladrão de  informações  e  backdoor,  projetado para o Sistema operacional Windows. Foi    usado em 2017 como  parte  de  uma  campanha em larga escala  na  qual  os atacantes  inseriram  Floxif  (e  Nyetya)  na    versão  gratuita do CCleaner  (um  utilitário de limpeza )  assim infectando  mais  de  2  milhões  de usuários,  entre  eles  grandes empresas    de tecnologia  como Google, Microsoft, Cisco  e  Intel.
10. ↑ Vidar – Vidar  é  um  infostealer  que tem como alvo os sistemas operacionais  Windows.     Detectado pela primeira vez   no    final  de  2018, ele foi projetado  para  roubar  senhas, dados de cartão de crédito e  outras  informações  confidenciais  de  vários  navegadores da Web  e  carteiras digitais. Vidar    foi  vendido  em  vários fóruns  online  e  usado como um conta-gotas de  malware  que  baixa o ransomware GandCrab como sua  carga secundária .

Principais indústrias atacadas globalmente

Este mês,  a Educação/Pesquisa  é  a  indústria  mais  atacada do mundo,  seguida  por  Comunicações  e Governo/Militar.

1. Educação/Pesquisa
2. Comunicações
3. Governo/Militar

Principais vulnerabilidades exploradas

Estemês,”Web Servers Malicious URL Directory Traversal”  ainda  é a  vulnerabilidade mais  explorada,   impactando  44%  das  organizações  globalmente,  seguida  pelo  “Web Server  Exposed  Git  Repository   Divulgação deinformações ”  que  afeta  43,7%  das  organizações  em todo o mundo” HTTP  Headers  Remote  Code  Execution”  permanece  em  terceiro  lugar  na    lista de  vulnerabilidades mais exploradas, com um impacto global  de  42%.

1. ↔ Web Servers  Malicioso  URL  Directory  Traversal  (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-2018-23949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)  –  Há    uma  vulnerabilidade  transversal do diretório  em  diferentes  servidores web. A  vulnerabilidade  é  devido  a  um  erro de validação de  entrada em um servidor  web  que   não  higieniza  adequadamente a  URL para os padrões de travessia do  diretório . A exploração bem-sucedida  permite que  invasores  remotos  não autenticados  divulguem    ou  acessem arquivos arbitrários     no  servidor vulnerável .
2. ↔ Divulgaçãode Informações do Repositório de Git exposta do Servidor Web–  Uma  vulnerabilidade    de divulgação de  informações  foi  relatada  no  Git  Repository. A exploração bem-sucedida    dessa  vulnerabilidade  pode  permitir uma   divulgação  não intencional de informações da  conta.
3. ↔HTTP Headers  Remote  Code  Execution  (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – os cabeçalhos  HTTP permitem que  o  cliente  e  o  servidor  passem  informações  adicionais  com  uma solicitação HTTP . Um  invasor remoto  pode  usar um  cabeçalho HTTP  vulnerável para  executar  código  arbitrário  na  máquina da  vítima .
4. ↑ Execução remota de código  de dvr   MVPower  – Existe uma  vulnerabilidade de execução remota de código  em dispositivos DVR MVPower.  Um  invasor remoto  pode  explorar  essa  fraqueza  para  executar  código arbitrário   no  roteador  afetado através de uma  solicitação criada .
5. ◗ Bypass de autenticação  do roteador    DASAN  GPON  (CVE-2018-10561)  – Existe uma  vulnerabilidade  de desvio de autenticação  nos  roteadores DASAN  GPON . A exploração bem-sucedida    dessa    vulnerabilidade  permitiria  que    invasores  remotos  obtenham  informações  confidenciais  e  obtenham  acesso  não autorizado  ao sistema afetado.
6. ↑ Apache HTTP  Server Directory  Traversal  (CVE-2021-41773,CVE-2021-42013) – Existeuma  vulnerabilidade  transversal do diretório no Apache HTTP Server. A exploração bem-sucedida    dessa  vulnerabilidade  pode permitir que  um  invasor  acesse   arquivos arbitrários   no   sistema afetado.
7. ↔ injeção de comando sobre HTTP (CVE-2013-6719,CVE-2013-6720) – Uma  injeção de comando sobre vulnerabilidade    HTTP  foi  relatada. Um  invasor remoto  pode  explorar  esse  problema    enviando  um  pedido especialmente  elaborado  à    vítima. A  exploração   bem sucedida permitiria que  um  invasor  executasse   código arbitrário    na máquina alvo .
8. ◗ Apache Struts2 Content-Type  Remote  Code  Execution  (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – Existe uma  vulnerabilidade   remota de execução de  código  no  Apache Struts2  usando  parser multipart  jakarta.  Um  invasor  poderia  explorar  essa  vulnerabilidade    enviando  um tipo de conteúdo  inválido  como  parte de uma solicitaçãode upload  de arquivo. A  exploração bem sucedida pode  resultar  na  execução  de  código  arbitrário    no sistema afetado.
9. ↔ Divulgação de Informações sobre Batimentos cardíacos do OpenSL  TLS DTLS  (CVE-2014-0160,CVE-2014-0346)  –  Existe uma  vulnerabilidade    de divulgação de  informações  no  OpenSSL. A  vulnerabilidade, também conhecida como  Heartbleed,  é  devido a um  erro    ao  manusear pacotes de batimentos cardíacos   TLS/DTLS . Um  invasor  pode  aproveitar  essa  vulnerabilidade  para  divulgar  conteúdos de memória  de  um  cliente  ou  servidor conectado .
10. ↑ NoneCMS  ThinkPHP  Remote  Code  Execution  (CVE-2018-20062)  – Existe uma  vulnerabilidade   de execução remota de código  na estrutura NoneCMS  ThinkPHP.   A exploração bem-sucedida      dessa  vulnerabilidade  pode permitir que  um  invasor remoto  execute  código   arbitrário  no sistema afetado.

Principais malwares móveis

Este mês,  o AlienBot  ocupa  o primeiro  lugar  nos malwares mobile mais  prevalentes,   seguido  por  xHelper  e  FluBot.

1. AlienBot –  AlienBot  família de malware é um Malware-as-a-Service (MaaS) para dispositivos Android que permite que  um  invasor remoto ,como um  primeiro  passo,  injete  código  malicioso em aplicativos financeiros legítimos. O  agressor  obtém  acesso  às contasdas  vítimas,  e  eventualmente  controla  completamente  seu  dispositivo.
2. xHelper – Um  aplicativo malicioso  visto  na    natureza  desde  março de  2019,  usado  para  baixar  outros  aplicativos  maliciosos e  exibir  anúncios. O  aplicativo  é  capaz  de  se  esconder     do  usuário  e  pode até mesmo    se  reinstalar   no  caso  de ser  desinstalado.
3. FluBot –  FluBot  é  uma botnet  Android  distribuída através de  mensagens SMS de phishing, na maioria  das  vezes  personificando marcasde entrega  logística . Uma vez que  o  usuário clica no  link  dentro da mensagem,  o FluBot  é  instalado  e  tem  acesso  a todas as  informações  confidenciais    no  telefone.