A Check Point Research revela que o Emotet é agora o sétimo malware mais prevalente, e seu retorno é considerado “extremamente preocupante”. Trickbot mais uma vez em primeiro lugar. Educação e Pesquisa ainda lideram a lista de alvos dos hackers.
Nosso mais recente Índice Global de Ameaças para novembro de 2021 revela que, enquanto o Trickbot permanece no topo da lista de malware mais prevalente, afetando 5% das organizações em todo o mundo, o recente Emotet resurgente está de volta ao índice na sétima posição. A RCP também revela que a indústria mais atacada é a Educação/Pesquisa.
Apesar dos grandes esforços da Europol e de várias agências de aplicação da lei no início deste ano para derrubar Emotet, a famosa botnet foi confirmada de volta à ação até novembro e já é o sétimo malware mais utilizado. Trickbot lidera o índice pela sexta vez este mês, e está mesmo envolvido com a nova variante do Emotet, que está sendo instalada em máquinas infectadas usando Infraestrutura trickbot .
O Emotet está sendo espalhado através de e-mails de phishing que contêm arquivos infectados do Word, Excel e Zip que implantam Emotet no host da vítima. Os e-mails contêm linhas de assunto intrigantes, como eventosde notícias atuais, faturas e memorandos corporativos falsos para atrair as vítimas para abri-las. Mais recentemente, o Emotet também começou a se espalhar através de pacotes maliciosos do Windows App Installer fingindo ser o software da Adobe.
A Emotet é uma das botnets mais bem sucedidas da história da cibersegurança e é responsável pela explosão de ataques de ransomware direcionados que testemunhamos nos últimos anos. O retorno da botnet em novembro é extremamente preocupante, pois pode levar a um aumento adicional nesses ataques. O fato de estar usando a infraestrutura da Trickbot significa que está encurtando o tempo que a Emotet levaria para construir uma base significativa o suficiente em redes ao redor do mundo. Como está sendo espalhado através de e-mails de phishing com anexos maliciosos, é crucial que a conscientização e educação do usuário esteja no topo das listas de prioridades das organizações quando se trata à segurança cibernética. E quem quiser baixar o software da Adobe deve se lembrar,como em qualquer aplicativo, de ir apenas por meios oficiais.
A RCP também revelou este mês que aEducação/Pesquisa é a indústria mais atacada do mundo, seguida por Comunicações e Governo/Militar. “Web Servers Malicious URL Directory Traversal” ainda é a vulnerabilidade mais explorada, impactando 44% das organizações globalmente, seguida pelo “Web Server Exposed Git Repository Divulgação deinformações ” que afeta 43,7% das organizações em todo o mundo” HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
Principais famílias de malware
*As setas referem-se à mudança de classificação em relação ao mês anterior .
Este mês, trickbot é o malware mais popular que impacta 5% das organizações em todo o mundo, seguido pelo Agente Tesla e Formbook, ambos com um impacto global de 4%.
- ↔ Trickbot – Trickbot é um Botnet modular e Trojan Bancário constantemente sendo atualizado com novos recursos, recursos e vetores de distribuição. Isso permite que o Trickbot seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multiuso.
- ↑ Agente Tesla – Agente Tesla é um RAT avançado funcionando como um keylogger e ladrão de informações, que é capaz de monitorar e coletar a entrada do teclado da vítima, teclado do sistema, tirar capturas de tela, e exfiltração de credenciais para uma variedade de software instalado na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e Microsoft Outlook.)
- ↑ Formbook – Formbook é um InfoStealer que coleta credenciais de vários navegadores da Web, coleta capturas de tela, monitores e logs teclas e pode baixar e executar arquivosde acordo com seus Pedidos da C&C.
- ↔ Glupteba – Glupteba é um backdoor que gradualmente amadureceu em uma botnet. Em 2019, incluiu um mecanismo de atualização de endereços da C&C através de listas públicas da BitCoin, um recurso de roubo integral de navegador e um explorador de roteador.
- ◗ Remcos – Remcos é um RAT que apareceu pela primeira vez na natureza em 2016. A Remcos se distribui através de documentos maliciosos do Microsoft Office que são anexados a e-mails de spam, e foi projetado para contornar a segurança do Microsoft Windows UAC e executar malware com alta. privilégios denível.
- ◗ XMRig – XMRig é um software de mineração de CPU decódigo aberto usado para o processo de mineração da criptomoeda Monero , e visto pela primeira vez em-o-selvagem em maio de 2017.
- ↑ Emotet – Emotet é um Trojan avançado,auto-propagador,modular. Uma vez usado como trojan bancário, o Emotet está sendo usado recentemente como distribuidor para outros malwares ou campanhas maliciosas . Ele usa múltiplos métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
- ◗ Ramnit – Ramnit é um Trojan bancário que rouba credenciais bancárias, senhasFTP, cookies de sessão e dados pessoais.
- ↑ Floxif – Floxif é um ladrão de informações e backdoor, projetado para o Sistema operacional Windows. Foi usado em 2017 como parte de uma campanha em larga escala na qual os atacantes inseriram Floxif (e Nyetya) na versão gratuita do CCleaner (um utilitário de limpeza ) assim infectando mais de 2 milhões de usuários, entre eles grandes empresas de tecnologia como Google, Microsoft, Cisco e Intel.
- ↑ Vidar – Vidar é um infostealer que tem como alvo os sistemas operacionais Windows. Detectado pela primeira vez no final de 2018, ele foi projetado para roubar senhas, dados de cartão de crédito e outras informações confidenciais de vários navegadores da Web e carteiras digitais. Vidar foi vendido em vários fóruns online e usado como um conta-gotas de malware que baixa o ransomware GandCrab como sua carga secundária .
Principais indústrias atacadas globalmente
Este mês, a Educação/Pesquisa é a indústria mais atacada do mundo, seguida por Comunicações e Governo/Militar.
- Educação/Pesquisa
- Comunicações
- Governo/Militar
Principais vulnerabilidades exploradas
Estemês,”Web Servers Malicious URL Directory Traversal” ainda é a vulnerabilidade mais explorada, impactando 44% das organizações globalmente, seguida pelo “Web Server Exposed Git Repository Divulgação deinformações ” que afeta 43,7% das organizações em todo o mundo” HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.
- ↔ Web Servers Malicioso URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-2018-23949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Há uma vulnerabilidade transversal do diretório em diferentes servidores web. A vulnerabilidade é devido a um erro de validação de entrada em um servidor web que não higieniza adequadamente a URL para os padrões de travessia do diretório . A exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável .
- ↔ Divulgaçãode Informações do Repositório de Git exposta do Servidor Web– Uma vulnerabilidade de divulgação de informações foi relatada no Git Repository. A exploração bem-sucedida dessa vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
- ↔HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP . Um invasor remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima .
- ↑ Execução remota de código de dvr MVPower – Existe uma vulnerabilidade de execução remota de código em dispositivos DVR MVPower. Um invasor remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado através de uma solicitação criada .
- ◗ Bypass de autenticação do roteador DASAN GPON (CVE-2018-10561) – Existe uma vulnerabilidade de desvio de autenticação nos roteadores DASAN GPON . A exploração bem-sucedida dessa vulnerabilidade permitiria que invasores remotos obtenham informações confidenciais e obtenham acesso não autorizado ao sistema afetado.
- ↑ Apache HTTP Server Directory Traversal (CVE-2021-41773,CVE-2021-42013) – Existeuma vulnerabilidade transversal do diretório no Apache HTTP Server. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor acesse arquivos arbitrários no sistema afetado.
- ↔ injeção de comando sobre HTTP (CVE-2013-6719,CVE-2013-6720) – Uma injeção de comando sobre vulnerabilidade HTTP foi relatada. Um invasor remoto pode explorar esse problema enviando um pedido especialmente elaborado à vítima. A exploração bem sucedida permitiria que um invasor executasse código arbitrário na máquina alvo .
- ◗ Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638,CVE-2017-5638,CVE-2019-0230) – Existe uma vulnerabilidade remota de execução de código no Apache Struts2 usando parser multipart jakarta. Um invasor poderia explorar essa vulnerabilidade enviando um tipo de conteúdo inválido como parte de uma solicitaçãode upload de arquivo. A exploração bem sucedida pode resultar na execução de código arbitrário no sistema afetado.
- ↔ Divulgação de Informações sobre Batimentos cardíacos do OpenSL TLS DTLS (CVE-2014-0160,CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade, também conhecida como Heartbleed, é devido a um erro ao manusear pacotes de batimentos cardíacos TLS/DTLS . Um invasor pode aproveitar essa vulnerabilidade para divulgar conteúdos de memória de um cliente ou servidor conectado .
- ↑ NoneCMS ThinkPHP Remote Code Execution (CVE-2018-20062) – Existe uma vulnerabilidade de execução remota de código na estrutura NoneCMS ThinkPHP. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado.
Principais malwares móveis
Este mês, o AlienBot ocupa o primeiro lugar nos malwares mobile mais prevalentes, seguido por xHelper e FluBot.
- AlienBot – AlienBot família de malware é um Malware-as-a-Service (MaaS) para dispositivos Android que permite que um invasor remoto ,como um primeiro passo, injete código malicioso em aplicativos financeiros legítimos. O agressor obtém acesso às contasdas vítimas, e eventualmente controla completamente seu dispositivo.
- xHelper – Um aplicativo malicioso visto na natureza desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e pode até mesmo se reinstalar no caso de ser desinstalado.
- FluBot – FluBot é uma botnet Android distribuída através de mensagens SMS de phishing, na maioria das vezes personificando marcasde entrega logística . Uma vez que o usuário clica no link dentro da mensagem, o FluBot é instalado e tem acesso a todas as informações confidenciais no telefone.