Malware: Nova versão de Troiano Qbot está no topo da Lista de Malware

Os investigadores da Check Point® Software Technologies Ltd. revelam, no mais recente Índice Global de Ameaças de Agosto 2020, que o troiano Qbot, também conhecido por Qakbot e Pinkslipbot, entrou no índice dos dez principais malware do mês de agosto, ocupando o 10º lugar, enquanto o troiano Emotet se mantêm no primeiro lugar pelo segundo mês consecutivo, impactando 14% das organizações a nível global.

Visto pela primeira vez em 2008, o Qbot tem se desenvolvido de forma contínua, utilizando, de momento, técnicas sofisticadas de roubo de credenciais e de instalação de ransomware, fazendo com que o malware se equipare a um canivete suíço, de acordo com os investigadores. O Qbot conta ainda com uma perigosa nova funcionalidade: um módulo colector de emails especializado, capaz de extrair as conversações do Outlook da vítima para um servidor remoto externo, onde serão guardadas. Posteriormente, ao Qbot será permitida a apropriação legítima de conversas de utilizadores infetados, utilizados para enviar spam e, assim, aumentar as probabilidades de enganar outros utilizadores. O Qbot possibilita ainda a realização de transações bancárias não autorizadas, ao permitir ao cibercriminoso no controlo a conexão ao computador da vítima.

Os investigadores da Check Point descobriram várias campanhas utilizando as novas funcionalidades do Qbot durante março e agosto de 2020, incluindo campanhas de Qbot distribuídas pelo troiano Emotet. Esta última impactou 5% das organizações a nível global em julho de 2020.

“Os agentes de ameaças estão sempre à procura de novas maneiras de atualizar as formas existentes e comprovadas de malware e têm claramente investido seriamente no desenvolvimento do Qbot, no sentido de o capacitar do roubo de dados em grande escala e tendo como alvos organizações e indivíduos. Temos visto campanhas ativas de malspam distribuídas diretamente pelo Qbot, bem como a utilização de terceiros para a infeção de infraestruturas, como a disseminação via Emotet. As empresas devem procurar por soluções anti-malware que evitem a chegada deste tipo de conteúdos a utilizadores finais e aconselhar os seus colaboradores a terem cuidado quando abrem emails, mesmo quando parecem provir de fontes confiáveis,” afirmou Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point.

A equipa de investigação alerta ainda para o “Web Server Exposed Git Repository Information Disclosure”, a vulnerabilidade mais comum, com um impacto de 47% das organizações a nível global, seguida do “MVPower DVR Remote Code Execution”, responsável pelo impacto de 43% das organizações em todo o mundo. Em terceiro lugar, o “Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, com um impacto global de 37%.

Top de famílias malware de Agosto

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês o Emotet mantém-se como o malware mais popular com um impacto global de 14% das organizações e nacional de 24,53%. Nas restantes posições cimeiras encontram-se o Agent Tesla e o Formbook, afetando cada um 3% das organizações a nível global, enquanto que a nível nacional as restantes posições do top 3 são ocupadas por XMRig (4,83%) e Formbook (3,30%).

1. ↔ Emotet – Trojan modular e de auto-propagação. O Emotet costumava ser usado como um banking trojan e evoluiu para se tornar um distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, ele pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↑ Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook). 
3. ↑ Formbook – é um ladrão de informações que reúne credenciais de vários navegadores web, capturas de tela, monitoriza e regista keystrokes, podendo também fazer download e executar ficheiros de acordo com os seus pedidos C&C.

Top de vulnerabilidades exploradas

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior 

Este mês, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais comum, impactando 47% das organizações a nível global, seguida do “MVPower DVR Remote Code Execution”, responsável por impactar 43% das organizações a nível mundial. Em terceiro lugar, o “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” com um impacto global de 37%.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação reportada no Git Repository. A exploração bem sucedida desta vulnerabilidade pode permitir uma fuga não intencional de informação de conta.
2. ↓ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação  bypass que existe em routers Dasan GPON. A exploração bem sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infectado.

Top de famílias malware em dispositivos móveis

Este mês o xHelpler foi o malware mobile mais popular, seguido do Necro e Hiddad.

1. xHelper – aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. – Necro – Trojan Dropper para Android. Consegue efetuar o download de outro malware, mostrando anúncios intrusivos e roubar dinheiro ao cobrar subscrições pagas.  
3. Hiddad – malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente. 

Se quiser aprofundar o conhecimento sobre as principais famílias de malware durante o passado mês de agosto, toda a informação pode ser encontrada aqui.

Os recursos de prevenção de ameaças da Check Point estão disponíveis e de livre acesso no site oficial da empresa.