Notorious Phorpiex Botnet ataca com novas campanhas de malspam

A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o mais recente Índice Global de Ameaças de Junho 2020. Os investigadores que durante o último mês o botnet Phorpiex tem estado a distribuir o Avaddon ransomware, uma nova variante de Ransomware-as-a-Service (RaaS) que apareceu no início de Junho, através de campanhas de e-mail spam, levando a uma ascensão na lista de Top Malware do 13º lugar para a 2ª posição do ranking e duplicando o seu impacto nas organizações em todo o mundo em comparação com o mês de Maio.

Como já reportado pela equipa de pesquisa da Check Point, o Phorpiex é conhecido pelas suas campanhas de malspam de extorsão sexual de larga escala, bem como por distribuir outras famílias de malware. As últmias mensagens distribuídas através do Phorpiex procuravam encitar os recetores a abrir um ficheiro em formato ZIP ao utilizar um emioji a piscar o olho no assunto do e-mail. Se o utilizador clicar no ficheiro, o ransomware Avaddon é ativado, bloqueando os dados no comuptador e pedindo um resgate para poder desenvriptar os ficheiros. Na sua pesquisa de 2019, a Cehck POint descobriu mais de um milhão de computadores Windows infetados com Phorpiex. Os investigadores estimam que as receitas criminosas geradas anualmente pelo botnet Phorpiex atinjam aproximadamente $500 000.

Entretanto, o troiano de acesso remoto e de roubo de informação Agent Tesla continua a ter um forte impacto durante o mÊs de junho, subindo do segundo posto que ocupava em Maio para a 1ª posição do ranking, enquanto o criptominerador XMRig mantém-se na terceira posição pelo segundo mês consecutivo.

“No passado, o Phorpiex, também conhecido por Trik, era monetizado por distribuir outros malware como GanCrab, Pony ou Pushdo, utilizando os seus hosts para minar criptomoeda, ou para esquemas de extorsão sexual. Agora está a ser usado para difundir uma nova campanha de ransomware,” relata Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point. “As organizações devem educar os seus empregados sobre como identificar os vários tipos de malspam que tragam este tipo de ameaças, como esta última campanha que direcionava-se para os utilizadores recorrendo a emojis a piscar o olho no assunto, e assegurar que implementam soluções de segurança que previna de forma ativa de infetarem as suas redes.”

A equipa de pesquisa alerta também que o “OpenSSL TLS DTLS Heartbeat Information Disclosure” é a vulnerabilidade mais explorada, impactando 45% das organizações globalmente, seguida de perto pela “MVPower DVR Remote Code Execution” a qual impactou 44% das organizações em todo o mundo. A “Web Server Exposed Git Repository Information Disclosure” mantém a terceira posição, com um impacto global de 38%.

Top de famílias malware de Junho em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o Dridex manteve a sua posição de liderança no ranking nacional com um impacto global em 2,16% das organizações e, a nível nacional, 4,38%; seguido pelo XMRig, que também amnteve s sua posição com um impacto global de 2,32% e um impacto nas organizações nacionais de 3,79%. Na terceira posição aprece pela primeira vez o NetwiredRC com um impacto nacional de 3,55% e global de 0,95%.

1.  ↔ Dridex – Dridex é um Troiano Bancário que atacas as plataformas Windows, e distribui campanhas de spam e kits de exploração, que usam WebInjects para interecetar e redirigir credenciais bancárias para o servidor controlado pelo atacante. O Dridex contacta um servidor remote, envia informação sobre o Sistema infetado e pode fazer download e executar módulos para control remoto. 
2. ↔ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. ↑ NetwiredRC

Top Global de famílias de malware

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

This month Agent Tesla é o malware mais popular com um impacto global em 3% das organizações, seguido de muito próximo pelo Phorpiex e XMRig afetando 2% das organizações cada.

1. ↑ Agent Tesla – Agent Tesla é um Troiano de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imaens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima ( incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook).
2. ↑ Phorpiex – Phorpiex é um botnet conhecido por distrib uir famílias de malware via campanhas de spam bem como potenciar campanhas de extorsão sexual de larga escala.
3. ↔ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.

As vulnerabilidades mais exploradas de Junho:

O mês de Junho o “OpenSSL TLS DTLS Heartbeat Information Disclosure” foi a vulnerabilidade mais explorada, afetando 45% das organizações globalmente, seguido de muito próximo pelo “MVPower DVR Remote Code Execution” com 44% das organizações em todo o mundo a sewrem impactadas. A “Web Server Exposed Git Repository Information Disclosure” permanece na terceira posição, com um impacto global de 38%.

1. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe  no OpenSSL uma vulnerabilidade na divulgação de informação. Esta deve-se a um erro relativo aos  TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectados.
2. ↓ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para  executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
3. ↔  Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de disponibilização de informação foi reportada no repositório Git. Uma exploração de sucesso desta vulnerabilidade pode permitir o acesso não intencional à informação da conta.

As vulnerabilidades Mobile mais exploradas de Junho:

Este mês, o Necro foi o malware mais popular, seguido pelo Hiddad e Lottor.

1. Necro – Necro é um Trojan Dropper para Android. Consegue efetuar o download de outro malware, mostrando anúncios intrusivos e roubar dinheiro ao cobrar subscrições pagas. 
2. Hiddad – Hiddad é um Malware para Android que recondiciona apps legítimas e depois disponibiliza-as em lojas de terceiros. A sua principal funcionalidade é disponibilizar anúncios, mas também obter acesso a detalhes de segurança chave existentes no Sistema Operativo.
3. Lotoor – Lotoor é uma ferramenta de hacking que explora vulnerabilidades no Sistema oprativo Android para obter privilégios de raíz nos dispositivos móveis comprometidos.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, ideintificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de Maio pode ser encontrada no Blog da Check Point. 

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html