Check Point descobrem que a Dridex foi atualizada e se espalhou através de múltiplas campanhas de spam para entregar ransomware direcionado, aumentando o risco do trojan há muito estabelecido
Nosso último Índice Global de Ameaças para março de 2020 mostra o conhecido trojan bancário Dridex, que apareceu pela primeira vez em 2011, entrou pela primeira vez na lista dos dez principais malwares, como o terceiro malware mais prevalecente em março. Dridex foi atualizado e agora está sendo usado nos estágios iniciais de ataque para o download de ransomware alvo, como BitPaymer e DoppelPaymer.
O forte aumento no uso do Dridex foi impulsionado por várias campanhas de spam contendo um arquivo Excel malicioso que baixa o malware Dridex para o computador da vítima. Este aumento no malware Dridex destaca a rapidez com que os ciber-criminosos mudam os temas dos seus ataques para tentar maximizar as taxas de infecção.
Dridex é uma sofisticada estirpe de malware bancário que tem como alvo a plataforma Windows, entregando campanhas de spam para infectar computadores e roubar credenciais bancárias e outras informações pessoais para facilitar a transferência fraudulenta de dinheiro. O malware tem sido sistematicamente actualizado e desenvolvido ao longo da última década. XMRig permanece em 1º lugar no Índice das principais famílias de malware, impactando 5% das organizações globalmente, seguido por Jsecoin e Dridex que impactaram 4% e 3% das organizações em todo o mundo, respectivamente.
Dridex pode ser muito lucrativo para os criminosos, dada a sua sofisticação, e agora está sendo usado como um baixador de resgate de software, o que o torna ainda mais perigoso do que as variantes anteriores. Os indivíduos precisam estar atentos aos e-mails com anexos, mesmo que pareçam ter origem em uma fonte confiável – especialmente com a explosão no trabalho doméstico nas últimas semanas. As organizações precisam estar educando os funcionários sobre como identificar spam malicioso e implementar medidas de segurança que ajudem a proteger suas equipes e redes contra tais ameaças.
O relatório de março também adverte que “MVPower DVR Remote Code Execution” continua sendo a vulnerabilidade explorada mais comum, impactando 30% das organizações globalmente, seguido de perto por “PHP php-cgi Query String Parameter Code Execution” com um impacto global de 29%, seguido por “OpenSSL TLS DTLS Heartbeat Information Disclosure” impactando 27% das organizações em todo o mundo.
Top malware families
*As setas referem-se à mudança na classificação em relação ao mês anterior.
Este mês XMRig permanece em 1º lugar, impactando 5% das organizações globalmente, seguido por Jsecoin e Dridex impactando 4% e 3% das organizações em todo o mundo, respectivamente.
- ↔ XMRig – XMRig é um software de mineração de CPU de código aberto usado para o processo de mineração da moeda criptográfica Monero, visto pela primeira vez na natureza em maio de 2017.
- Jsecoin – Jsecoin é um criptominer baseado na web, projetado para realizar mineração online da moeda criptográfica Monero quando um usuário visita uma determinada página da web. O JavaScript implantado usa uma grande quantidade de recursos computacionais do usuário final para extrair moedas, impactando assim o desempenho do sistema.
- Dridex – Dridex é um Trojan Bancário que tem como alvo a plataforma Windows, e é entregue através de campanhas de spam e kits de exploração, que dependem do WebInjects para interceptar e redirecionar credenciais bancárias para um servidor controlado por atacantes. Dridex contata um servidor remoto, envia informações sobre o sistema infectado e também pode baixar e executar módulos adicionais para controle remoto.
- ↔ Trickbot – O Trickbot é um Trojan bancário dominante sendo constantemente atualizado com novas capacidades, características e vetores de distribuição. Isto permite que o Trickbot seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multi-propagadas.
- ↓ Emotet – Emotet é um Trojan avançado, auto-propagado e modular. O Emotet já foi empregado como um Trojan bancário, e recentemente é usado como um distribuidor para outros malwares ou campanhas maliciosas. Ele usa múltiplos métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, ele pode ser espalhado através de e-mails de phishing spam contendo malware.
- ↔ Agent Tesla – Agent Tesla é um RAT avançado, funcionando como um keylogger e um roubador de senhas. O Agent Tesla é capaz de monitorar e coletar a entrada do teclado da vítima, a área de transferência do sistema, tirar screenshots e exfiltrar
credenciais de uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). - Formbook – Formbook é um Roubo de Informação que recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista as teclas, e pode descarregar e executar ficheiros de acordo com as suas ordens C&C.
- ↓ Lokibot – Lokibot é um Info Stealer distribuído principalmente por e-mails de phishing e é usado para roubar vários dados como credenciais de e-mail, assim como senhas para carteiras CryptoCoin e servidores FTP.
- ↓ Ramnit – Ramnit é um Trojan bancário que rouba credenciais bancárias, senhas de FTP, cookies de sessão e dados pessoais.
- RigEK- RigEK fornece exploits para Flash, Java, Silverlight e Internet Explorer. A cadeia de infecção começa com um redirecionamento para uma página de destino que contém JavaScript que verifica se há plug-ins vulneráveis e entrega o exploit.
Vulnerabilidades exploradas
Este mês o “MVPower DVR Remote Code Execution” continua sendo a vulnerabilidade explorada mais comum, impactando 30% das organizações globalmente, seguido de perto pelo “PHP php-cgi Query String Parameter Code Execution” com um impacto global de 29%. Em 3º lugar “OpenSSL TLS DTLS Heartbeat Information Disclosure” está impactando 27% das organizações no mundo inteiro.
- ↔ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução de código remoto que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar esta fraqueza para executar código arbitrário no roteador afetado através de uma requisição crafted.
- PHP php-cgi Query String Parameter Code Execution – Uma vulnerabilidade de execução de código remoto que foi relatada em PHP. A vulnerabilidade é devida à análise e filtragem imprópria de strings de consulta pelo PHP. Um atacante remoto pode explorar este problema enviando requisições HTTP criadas. A exploração bem sucedida permite que um atacante execute código arbitrário no alvo.
- ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade é devida a um erro ao manusear pacotes de batimentos cardíacos TLS/DTLS. Um atacante pode aproveitar esta vulnerabilidade para revelar o conteúdo da memória de um cliente ou servidor conectado.
- Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de revelação de informações foi relatada no Git Repository. A exploração bem sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informações de conta.
- ↓ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação existe nos roteadores Dasan GPON. A exploração bem sucedida desta vulnerabilidade permitiria aos atacantes remotos obter informações sensíveis e obter acesso não autorizado ao sistema afetado.
- Huawei HG532 Router Remote Code Execution – Existe uma vulnerabilidade de execução de código remoto nos Roteadores Huawei HG532. Um atacante remoto pode explorar esta fraqueza para executar código arbitrário no roteador afetado através de uma requisição criada.
- D-Link DSL-2750B Remote Command Execution – Existe uma vulnerabilidade de desvio de autenticação no WordPress portable-phpMyAdmin Plugin. A exploração bem sucedida desta vulnerabilidade permitiria aos atacantes remotos obter informações sensíveis e obter acesso não autorizado ao sistema afetado.
- ↓PHP DIESCAN information disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada nas páginas do PHP. Uma exploração bem sucedida poderia levar à divulgação de informação sensível do servidor.
- ↓SQL Injection (várias técnicas) – Inserir uma injeção de consulta SQL na entrada do cliente para a aplicação, enquanto explora uma vulnerabilidade de segurança no software de uma aplicação.
- OpenSSL Padding Oracle Information Disclosure – Uma vulnerabilidade de divulgação de informação existe na implementação AES-NI do OpenSSL. A vulnerabilidade é devida a um erro de cálculo de alocação de memória durante uma certa verificação de padding. Um atacante remoto pode explorar essa vulnerabilidade para obter informações sensíveis de texto claro através de um ataque de padding-oracle contra uma sessão AES CBC.
Top malware families – Mobile
Este mês xHelper reteve o 1º lugar no malware móvel mais prevalente, seguido por AndroidBauts e Lotoor.
- xHelper – Um aplicativo malicioso visto na natureza desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir propaganda. O aplicativo pode se esconder do usuário e se reinstalar caso seja desinstalado.
- AndroidBauts – Adware visando usuários Android que exfiltra IMEI, IMSI, localização GPS e outras informações do dispositivo e permite a instalação de aplicativos de terceiros e atalhos em dispositivos móveis.
- Lotoor – Uma ferramenta de hacking que explora vulnerabilidades nos sistemas operacionais Android para ganhar privilégios de root em dispositivos móveis comprometidos.