Malware e vulnerabilidades mais usados para ciberataques

Todos meses a Check Point publica um Índice de Impacto Global de Ameaças. No mês de setembro os malware criptominers continuaram a ser os mais utilizados. Neste Índice a Check Point também publica quais foram os malware para telemóveis mais utilizados e quais foram as vulnerabilidades mais explorada para realizar ciberataques.

Mais uma vez, o Lokibot, um banking Trojan para Android, foi o malware mais popular no ataque aos telemóveis das organizações, sendo seguido pelo Lotoor e o Triada. Este ciberataques são feitos com a intenção de ter acesso aos telemóvel da vítima e, assim, recolher os dados tanto no telemóvel como do que rodeia a vítima..

Top Mobile Malware do Mundo durante o mês de setembro de 2018

1. Lokibot – É um Trojan bancário que tem como alvo smartphones Android e torna-se num ransomware depois da vítima tentar retirar-lhe o privilégio de administrador.
2. Lotoor – É uma ferramenta de hacking que explora as vulnerabilidades num sistema operativo Android para ganhar privilégios de administração nos dispositivos móveis comprometidos.
3. Triada – É um Backdoor modular para Android que dá privilégios de super-utilizador para fazer download de malwares e ajuda a que seja incorporado nos processadores. O Triada já foi encontrado a fazer spoofing nos URLs abertos nos browsers.

Os analistas da Check Point também analisaram as ciber vulnerabilidades mais exploradas. Nestes ciberataques as vulnerabilidades que são encontradas são utilizadas para o bem do agente de ameaças. Em primeiro lugar está o CVE-2017-7269 com um impacto global de 48%. Em segundo lugar está o CVE-2016-6309 com um impacto de 43% e logo a seguir está a Inserção de Código para Servidores Web PHPMyAdmin Misconfiguration impactando 42% nas organizações.

Top vulnerabilidades ‘Mais Exploradas’ durante o mês de setembro de 2018:

1. ↔ ScStoragePathFromUrl Buffer Overflow no Microsoft IIS WebDAV (CVE-2017-7269) – Ao enviar um pedido criado na rede de Microsoft Windows Server 2003 R2 através do Microsoft Internet Information Services 6.0, um atacante remoto pode executar um código arbitrário ou causar uma negação de condição de serviços no servidor atacado. Isto acontece principalmente por uma vulnerabilidade no overflow que resulta de uma validação imprópria de um cabeçalho longo de HTTP.
2. ↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) ­– A vulnerabilidade use-after-free foi denunciada no tls_get_message_body function de OpenSSL. Um atacante remoto e não autenticado poderia explorar esta vulnerabilidade ao enviar uma mensagem elaborada ao servidor vulnerável. Uma exploração bem-sucedida permite que os atacantes executem no sistema códigos arbitrários.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – Uma vulnerabilidade de inserção de código foi denunciada no PHPMyAdmin. Esta vulnerabilidade é devido à má configuração do PHPMyAdmin. Um atacante remoto pode explorar esta vulnerabilidade ao enviar um pedido HTTP especialmente elaborado ao seu alvo.