O AsyncRAT é um Remote Access Trojan (RAT) conhecido pela sua capacidade de monitorizar e controlar remotamente os sistemas informáticos sem ser detectado. O malware, que ficou em sexto lugar na lista dos dez melhores do mês passado, utiliza vários formatos de ficheiros, como o PowerShell e o BAT, para efectuar a injecção de processos. Na campanha do mês passado, os destinatários receberam um e-mail com uma ligação incorporada. Uma vez clicada, a hiperligação desencadeava o download de um ficheiro HTML malicioso, e consequentemente uma sequência de eventos que permitia ao malware camuflar-se como uma aplicação de confiança para evitar a detecção.
Entretanto, o downloader FakeUpdates voltou a entrar para o topo da lista de malware, após uma pausa de dois meses. Escrita em JavaScript, a estrutura de distribuição do malware utiliza sites comprometidos para enganar os utilizadores e fazê-los executar falsas actualizações do navegador. Este malware levou a um maior envolvimento de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
“As ciberameaças de Novembro demonstram como os agentes de ameaças utilizam métodos aparentemente inócuos para se infiltrarem nas redes. A ascensão da campanha AsyncRAT e o ressurgimento do Fake Updates destacam uma tendência em que os atacantes usam uma simplicidade enganosa para contornar as defesas tradicionais. Isto sublinha a necessidade de as organizações adoptarem uma abordagem de segurança em camadas que não se baseiem apenas no reconhecimento de ameaças conhecidas, mas que também tenha a capacidade de identificar, prevenir e responder a novos vectores de ataque antes de causarem danos”, diz Maya Horowitz, VP de Investigação da Check Point Software.
Em África, em Novembro de 2023, o Phorpiex manteve o primeiro lugar do pódio. Afectando 17,39% das organizações. Em termos de sectores, também não houve alterações no primeiro lugar: o sector das Telecomunicações manteve a liderança.
A CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afectando 45% das organizações ao nível mundial, seguida da “Web Servers Malicious URL Directory Transversal” com 42%. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%.
Principais famílias de malware a nível mundial
*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.
O FormBook foi o malware mais dominante no mês passado, com um impacto de 3% nas organizações mundiais, seguido do FakeUpdates, com um impacto global de 2% e do Remcos, com um impacto global de 2%.
↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
↑ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↔ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projectado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.
Principais Famílias Malware em África
Em África, no mês de Novembro, o Phorpiex permaneceu na liderança, seguido pelo Snatch e pelo AsyncRat
↔ Phorpiex – O Phorpiex é um botnet (também conhecido como Trik) que tem estado ativo desde 2010 e no seu auge controlou mais de um milhão de hospedeiros infetados. É conhecida por distribuir outras famílias de malware através de campanhas de spam, bem como por alimentar campanhas de spam e sextorsão em grande escala.
↑ Snatch – O Snatch é um grupo de ransomware como serviço (RaaS) e malware, que opera num modelo de extorsão dupla, roubando e encriptando os dados da vítima para fins de extorsão. O Snatch opera desde 2018.
↑ AsyncRat – O Asyncrat é um Trojan que tem como alvo a plataforma Windows. Este malware envia informações sobre o sistema alvo para um servidor remoto. Recebe comandos do servidor para descarregar e executar plugins, matar processos, desinstalar-se/actualizar-se e capturar imagens de ecrã do sistema infectado.
Principais indústrias atacadas a nível global
No mês passado, o pódio de indústrias voltou a ficar inalterado. O setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Telecomunicações e do sector Administração Pública/Defesa.
- Educação/Investigação
- Telecomunicações
- Administração Pública/Defesa
Principais indústrias atacadas em África
Em África, o sector mais atacado em Novembro de 2023 foi o das Telecomunicações, seguido do das Utilities em segundo lugar, e do ISP/MSP, que ocupa o último lugar do pódio.
- Telecomunicações
- Utilities
- ISP/MSP
Principais vulnerabilidades exploradas
No mês passado, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afectando 45% das organizações em todo o mundo, seguida pela “Web Servers Malicious URL Directory Traversal”, com 42% das organizações em todo o mundo. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%.
- ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) — Foi relatada uma vulnerabilidade de injecção de comando sobre HTTP. Um atacante remoto pode explorar este problema enviando uma solicitação especialmente elaborada para a vítima. Uma exploração bem-sucedida permitiria a um atacante executar código arbitrário na máquina-alvo.
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de directório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa correctamente o URI para os padrões de passagem de directórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
- ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injecção de comandos no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que os invasores remotos executassem comandos arbitrários do sistema operacional no sistema afectado.
Top Mobile Malwares
No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel dominante, seguido do AhMyth e do SpinOk.
- Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
- AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
- SpinOk – O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e pode transferi-las para agentes de ameaças maliciosos. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421.000.000 vezes até maio de 2023.
O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
A lista completa das dez principais famílias de malware em Outubro pode ser consultada no blogue da Check Point.
