Crescem ataques por e-mail com anexos em PDF

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, publicou o Índice Global de Ameaças referente ao mês de maio de 2022. Os pesquisadores relatam que o Emotet, um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção, ainda é o mais prevalente no mundo e no Brasil como resultado de várias campanhas generalizadas. Além disso, em maio, o malware Snake Keylogger saltou para o oitavo lugar após uma longa ausência no índice; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.

O Snake Keylogger geralmente é distribuído por e-mails que incluem anexos com extensões docx ou xlsx com macros maliciosas. No entanto, em maio, os pesquisadores da CPR relataram que o Snake Keylogger foi disseminado por meio de arquivos PDF. Isso pode ser devido, em parte, ao bloqueio da Microsoft por macros padrão da Internet no Office, o que significa que os cibercriminosos tiveram que se tornar mais criativos, explorando novos tipos de arquivos, como PDFs. Essa maneira rara de distribuir o malware está se mostrando bastante eficaz, pois algumas pessoas percebem que os documentos PDFs são inerentemente mais seguros do que outros tipos de arquivo.

Em relação ao Emotet, este malware está impactando 8% das organizações em todo o mundo, um ligeiro aumento em relação ao mês de abril. O Emotet é um malware ágil que se mostra lucrativo devido à sua capacidade de permanecer indetectável. Sua persistência também dificulta a remoção após a infecção de um dispositivo, tornando-o a ferramenta perfeita no arsenal de um cibercriminoso. Originalmente um cavalo de Troia bancário, é frequentemente distribuído por e-mails de phishing e tem a possibilidade de oferecer outros malwares, aumentando sua capacidade de causar danos generalizados.

“Como é evidenciado pelas mais recentes campanhas do Snake Keylogger, tudo o que publicamos online coloca-nos em risco de um ciberataque, e abrir um arquivo PDF não é exceção. Vírus e códigos executáveis maliciosos podem se esconder em conteúdo multimídia e links com o ataque de malware, neste caso o Snake Keylogger, o qual está pronto para atacar assim que o usuário abrir um arquivo PDF”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

“Portanto, assim como questionaríamos a legitimidade de um arquivo docx ou xlsx no anexo de um e-mail, devemos ter a mesma cautela em relação aos PDFs. No panorama atual, nunca foi tão importante às organizações ter uma solução robusta de segurança de e-mail que coloque em quarentena e inspecione anexos, evitando que arquivos maliciosos entrem na rede em primeiro lugar”, reforça Maya.

Lista de setores e vulnerabilidades de maio

A CPR também revelou que, em maio, Educação e Pesquisa prosseguiu como primeiro na lista de setores mais atacados globalmente por cibercriminosos. A “Web Servers Malicious URL Directory Traversal” foi a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida (praticamente “colada”) pela “Apache Log4j Remote Code Execution” com igual impacto global de 46%. A “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade que ocupou o terceiro lugar no índice com um impacto global de 45%.

Quanto aos setores, em maio, Educação e Pesquisa continuou sendo o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking dos meses de março e abril.

  1. Educação/Pesquisa
  2. Governo/Militar
  3. Internet Service Providers (ISP)/Managed Service Providers (MSP)

No Brasil, os três setores no ranking nacional mais visados em maio foram:

  1. Integrador de Sistemas/VAR/Distribuidor
  2. Varejo/Atacado
  3. Governo/Militar

O setor de Educação/Pesquisa ficou em sexto lugar no ranking nacional.

Principais malwares móveis

Em maio, os malwares móveis mantiveram-se nas mesmas posições do índice de abril: o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.

  1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
  2. FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
  3. xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

Os principais malwares de maio no Brasil

O principal malware no Brasil em maio voltou a ser o Emotet, reassumindo a liderança com 23,55% de impacto das organizações. O Chaes desceu para o segundo lugar (6,88%) no ranking nacional; este malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros. Em terceiro lugar apareceu o malware PseudoManuscrypt (3,75%), um spyware usado em campanhas de espionagem que ameaçam principalmente organizações governamentais e sistemas de controle industrial. Este spyware tem recursos avançados de espionagem, incluindo capturas de tela da vítima e coleta de credenciais de autenticação VPN.

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).

Fonte: Check Point Research

Deixe um comentário

O seu endereço de e-mail não será publicado.