Emotet entra em hibernação, mas por quanto tempo?

A Check Point Research, a arma contra Threat Intelligence da Check Point® Software publicou o mais recente Global Threat Index referente ao mês de Junho de 2019. A equipa de pesquisa confirma que o Emotet (o maior Botnet atualmente em atividade) tem estado inativo, sem serem detetadas novas campanhas durante o mês de Junho. O Emotet encontrou-se no TOP 5 de malware a nível global durante os primeiros seis meses de 2019, e foi distribuído em campanhas de spam globais.

Os investigadores da Check Point acreditam que a infraestrututra do Emotet pode encontrar-se offline por razões de manutenção e upgrade de operações, e que brevemente veremos os seus servidores novamente a operar, e o Emotet será reativado com novas funcionalidades.

“O Emotet existe desde 2014 como um trojan de banca. Desde 2018 houve uma ligeira alteração do seu uso para se tornar no maior botnet de campanhas de malspam e utilizado para espalhar outros malwares. Mesmo tendo a sua infraestrutura estado em baixo quase todo o mês de Junho, conseguiu manter-se no quinto posto do nosso índice global de malware, o que demonstra o quanto tem sido usado, e como provavelmente voltará com novas funcionalidades,” afirma Maya Horowitz, Director Threat Intelligence & Research.

“Assim que o Emotet é instalado na máquina da vítima, pode ser usado para espalhar-se através de campanhas de sapm, download de outros malwares (como o Trickbot, que infeta toda a rede de hospedagem com o infame Ryuk Ransomware), e espalha-se para outros ativos na rede.”

O Top 3 dos “Mais Procurados” de Junho em Portugal:

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.

1. ↑ XMRig – O software mining CPU open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017, registou um impacto de 9,96% a nível nacional.
2. ↑ Jsecoin – Um miner Javascript que pode ser embebido nos websites. Com o JSEcoin, pode fazer correr o minerador diretamento no seu browser em troca de uma experiência sem publicidade (ad-free), por troca de moeda em jogos ou outros incentivos. Em Portugal teve um impacto de 9,13% em Junho.
3. ↑ Emotet – Troiano modular e de auto-propagação. O Emotet costumava ser usado como um banking trojan, e evoluiu para ser um distribuidor de outro malware ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Adicionalmente, pode ser partilhado através de campanhas de phishing contendo links ou anexos maliciosos. Este teve um impacto de 5,93% durante o mês de Junho por terras lusas.

Top Mobile Malware Global durante o mês de Junho de 2019

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.

Lotoor mantém a liderança na lista de top mobile malware, seguido pelo Triada e Ztorg, o mais recente malware no topo desta lista.

1. Lotoor– Android malware que recondiciona apps legítimas e relança-as em lojas de entidades terceiras. A sua principal função é apresentar anúncios, no entanto é capaz de obter o acesso aos detalhes da chave de segurança construído no Sistema Operativo, permitindo ao atacante obter dados sensíveis do utilizador.
2. Triada– Backdoor Modular para Android que assegura privilégios de super utilizador para fazer download de malware, que ajuda a embeber nos processos de Sistema. O Triada também tem feito spoofing de URLs previamente carregados no browser.
3. Ztorg – Trojans da família do Ztorg obtém privilégios em dispositivos Android e instala-os na diretoria de sistema. O malware consegue instalar outras aplicações no dispositivo.

Top 3 das vulnerabilidades ‘Mais Exploradas’ em Junho:

Em junho vimos técnicas de injeção de SQL a liderar a lista de exploração de vulnerabilidades com um impacto global de 52%. O OpenSSL TLS DTLS Heartbeat Information Disclosure ocupa o segundo lugar com um impacto de 43% nas organizações globalmente, seguido bem de perto pela CVE-2015-8562 com um impacto global em 41% das organizações em todo o mundo.

1. ↑ SQL Injection (várias técnicas) – Esta vulnerabilidade faz injeção de queries de SQL nos inputs vindos do cliente para a aplicação, enquanto explora a vulnerabilidade no software da aplicação.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade que divulga informações que se encontram no OpenSSL devido a um erro enquanto opera com os TLS/DTLS heartbeat packets. Um atacante pode utilizar esta vulnerabilidade para divulgar conteúdos que se encontram em memória num cliente conectado ou servidor.
3. ↑ Joomla Object Injection Remote Command Execution (CVE-2015-8562)- Comando de execução remota de vulnerabilidades foi reportada em plataformas Joomla. A vulnerabilidade sucede devido à falta de validação sobre objetos incluídos que podem levar a uma execução remota de código. Um atacante remoto pode explorar esta vulnerabilidade ao enviar um pedido malicioso à vítima. Uma exploração bem-sucedida desta vulnerabilidade pode resultar na execução de código arbitrário no contexto do utilizador alvo.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que oferece informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados inclui mais de 250 milhões endereços que são analisados para descobrir bots, cerca de 11 milhões de assinaturas e 5,5 milhões de websites infetados. Além disso, identifica milhões de tipos de malware todos os dias.