Malware mais procurado de agosto de 2020: Cavalo de Troia Qbot evoluído é classificado pela primeira vez na lista de principais malwares
Os pesquisadores da Check Point descobrem que uma nova variante do Qbot perigosa está se espalhando por meio de uma campanha de malspam para executar roubo de credenciais, instalação de ransomware e transações bancárias não autorizadas
Nosso último Índice de Ameaças Globais de agosto de 2020 revelou que o cavalo de Troia Qbot, também conhecido como Qakbot e Pinkslipbot, entrou no índice dez principais de malware pela primeira vez, sendo classificado como o décimo malware mais prevalente em agosto, enquanto o cavalo de troia Emotet permanece em 1º lugar pelo segundo mês, impactando 14% das organizações globalmente.
Visto pela primeira vez em 2008, o Qbot tem sido continuamente desenvolvido e agora usa técnicas sofisticadas de roubo de credenciais e instalação de ransomware, tornando-o o equivalente de malware a um canivete suíço, de acordo com os pesquisadores. O Qbot agora também tem um novo recurso perigoso: um módulo coletor de email especializado que extrai threads de email do cliente Outlook da vítima e os carrega para um servidor remoto externo. Isso permite ao Qbot sequestrar conversas de e-mail legítimas de usuários infectados e, em seguida, enviar spam usando esses e-mails sequestrados para aumentar suas chances de enganar outros usuários para que sejam infectados. O Qbot também pode permitir transações bancárias não autorizadas, permitindo que seu controlador se conecte ao computador da vítima.
Os pesquisadores da Check Point encontraram várias campanhas usando a nova cepa do Qbot entre março e agosto de 2020, que incluiu Qbot sendo distribuído pelo trojan Emotet. Esta campanha impactou 5% das organizações globalmente em julho de 2020.
Os agentes de ameaças estão sempre procurando maneiras de atualizar as formas existentes e comprovadas de malware e estão claramente investindo pesadamente no desenvolvimento do Qbot para permitir o roubo de dados em grande escala de organizações e indivíduos. Os pesquisadores da Check Point viram campanhas ativas de malspam distribuindo o Qbot diretamente, bem como o uso de infraestruturas de infecção de terceiros, como a da Emotet, para espalhar ainda mais a ameaça. A equipe de pesquisa informa que as empresas devem considerar a implantação de soluções anti-malware que podem impedir que esse conteúdo chegue aos usuários finais e aconselhar os funcionários a serem cautelosos ao abrir e-mails, mesmo quando eles parecem ser de uma fonte confiável.
A equipe de pesquisa também alerta que “Divulgação de informações do repositório Git exposto ao servidor Web” é a vulnerabilidade explorada mais comum, afetando 47% das organizações em todo o mundo, seguida por “MVPower DVR Remote Code Execution” que afetou 43% das organizações em todo o mundo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” está em terceiro lugar, com um impacto global de 37%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Este mês, o Emotet continua sendo o malware mais popular, com um impacto global de 14% das organizações, seguido de perto pelo Agente Tesla e Formbook, afetando 3% das organizações cada.
- ↔ Emotet – Emotet é um Trojan avançado, autopropagável e modular. O Emotet era originalmente um Trojan bancário, mas recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, pode se espalhar por meio de e-mails de spam de phishing contendo anexos ou links maliciosos.
- ↑ Agente Tesla – O agente Tesla é um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, a área de transferência do sistema, fazer capturas de tela e exfiltrar credenciais pertencentes a uma variedade de software instalado na máquina da vítima ( incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook).
- ↑ Formbook – Formbook é um ladrão de informações que coleta credenciais de vários navegadores da web, coleta imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.
- ↔ Trickbot – o Trickbot é um Trojan bancário dominante, constantemente atualizado com novos recursos, recursos e vetores de distribuição. Isso permite que o Trickbot seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
- ↑ XMRig – XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez na natureza em maio de 2017.
- ↑ Ramnit – Ramnit é um Trojan bancário que rouba credenciais bancárias, senhas de FTP, cookies de sessão e dados pessoais.
- ↑ Glupteba – Glupteba é um backdoor que gradualmente amadureceu em um botnet. Em 2019, ele incluiu um mecanismo de atualização de endereço C&C por meio de listas públicas de BitCoin, um recurso de ladrão de navegador integral e um explorador de roteador.
- ↑ RigEK – RigEK oferece exploits para Flash, Java, Silverlight e Internet Explorer. A cadeia de infecção começa com um redirecionamento para uma página de destino que contém JavaScript que verifica se há plug-ins vulneráveis e fornece o exploit.
- ↑ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos se distribui por meio de documentos maliciosos do Microsoft Office que são anexados a e-mails de SPAM e é projetado para ignorar a segurança UAC do Microsoft Windows e executar malware com privilégios de alto nível.
- ↑ Qbot – Qbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias dos usuários e as teclas digitadas. Geralmente distribuído por e-mail de spam, o Qbot emprega várias técnicas anti-VM, anti-depuração e anti-sandbox para impedir a análise e evitar a detecção.
Principais vulnerabilidades exploradas
Este mês, “Divulgação de informações do repositório Git exposto do servidor Web” é a vulnerabilidade explorada mais comum, afetando 47% das organizações globalmente, seguida por “MVPower DVR Remote Code Execution” que afetou 43% das organizações em todo o mundo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” está em terceiro lugar, com um impacto global de 37%.
- ↑ Divulgação de informações do repositório Git exposto pelo servidor da Web – uma vulnerabilidade de divulgação de informações que foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
- ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe em dispositivos MVPower DVR. Um invasor remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
- ↑ Desvio de autenticação do roteador Dasan GPON (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe nos roteadores GPON Dasan. A exploração bem-sucedida desta vulnerabilidade permite que invasores remotos obtenham informações confidenciais e obtenham acesso não autorizado ao sistema afetado.
- ↑ Injeção de Comando Draytek Vigor (CVE-2020-8515) – Existe uma vulnerabilidade de injeção de comando no Draytek Vigor. A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado .
- ↓ Divulgação de informações OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) – existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade se deve a um erro ao lidar com pacotes de pulsação TLS / DTLS. Um invasor pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
- ↓ Execução remota de código de cabeçalhos HTTP (CVE-2020-13756) – os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.
- ↑ Tentativa de acesso à senha fraca do WordPress xmlrpc – O envio de uma solicitação para xmlrpc.php requer autenticação. Um invasor pode tentar adivinhar as senhas do sistema enquanto evita a página de login do administrador.
- ↔ SQL Injection (várias técnicas) – Inserção de uma injeção de consulta SQL na entrada do cliente para o aplicativo, enquanto explora uma vulnerabilidade de segurança no software de um aplicativo.
- ↓ Injeção de comando sobre carga útil HTTP – Uma vulnerabilidade de injeção de comando sobre carga útil HTTP foi relatada. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. A exploração bem-sucedida permitiria a um invasor executar código arbitrário na máquina alvo.
- ↑ ZTE F460 / F660 Backdoor Acesso não autorizado – Existe uma vulnerabilidade de acesso não autorizado nos modems a cabo ZTE F460 e F660. A exploração bem-sucedida desta vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários com acesso de nível de administrador no dispositivo afetado.
Principais famílias de malware móvel
Este mês, o xHelper é o malware móvel mais popular, seguido por Necro e Hiddad.
- xHelper – Um aplicativo malicioso visto em liberdade desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo pode se ocultar do usuário e se reinstalar caso tenha sido desinstalado.
- Necro – Necro é um Trojan Dropper para Android. Ele pode baixar outro malware, mostrando anúncios intrusivos e roubando dinheiro ao cobrar assinaturas.
- Hiddad – Hiddad é um malware Android que reempacota aplicativos legítimos e, em seguida, os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança integrados ao sistema operacional.