Troiano Bancário Ursnif entra no top 10 da lista de Malware pela primeira vez

A Check Point Research acaba de publicar o mais recente Índice Global de Ameaças de Maio 2020. Os investigadores descobriram diversas campanhas de spam que distribuíram o troiano bancário Ursnif, que levou a uma subida surpreendente de 19 posições para o 5º posto da lista de Top Malware, duplicando o seu impacto nas organizações em todo o mundo.

O troiano bancário Ursnif foca-se em PC com sistema operativo Windows e tem a capacidade de roubar informação financeira vital, credenciais de e-mail e outros dados confidenciais. Este malware é distribuído através de campanhas de spam via anexos em Word ou Excel. Esta nova vaga de ataques do troiano Ursnif – que assim se viu a entrar pela primeira vez no top 10 do Índice de Top Malware – coincide com relatos do desaparecimento de uma das suas variantes mais populares, Dreambot. O Dreambot foi detetado pela primeira vez em 2014, e é baseado no código fonte do Ursnif. Tal como reportado em Março de 2020, o servidor backend do Dreambot nunca foi desligado, e não existem novos exemplares do Dreambot detetados.

Entretanto, o reconhecido troiano bancário Dridez, que entrou no top 10 de malware pela primeira vez em Março, continua a manter um forte impacto durante o mês de Maio, mantendo-se no primeiro lugar pelo segundo mês consecutivo. As famílias de mobile malware mais prevalecentes durante Maio alteraram por completo, com o malware para Android que gera receitas fraudulentas através de cliques em anúncios mobile a dominar o índice mobile – mostrando como os criminosos etão a tentar monetizar ataques contra dispositivos móveis.

“Com os troianos bancários Dridex, Agent Tesla e Ursnif a posicionarem-se no top 5 de malware em Maio,é claro que os cibercriminosos estão a focar-se em utilizar malware que lhes permita monetizar com os dados e credenciais das suas vítimas,” afirma Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point. “Enquanto os ataques relacionados com o Covid-19 começam a diminuir, estamos a ver um aumento de 16% de ciberataques em Maio comparado com Março e Abril, por isso as organizações têm de se manter vigilantes utilizando determinadas ferramentas e técnicas, especialmente tendo em atenção a adoção massiva do trabalho remoto, do qual os atacantes estão a tentar obter proveitos.”

Top de famílias malware de Maio em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, Trickbot ascendeu ao primeiro lugar, com um impacto global de 2,36% e nacional de 9,02%; seguido pelo Dridex, que globalmente afetou 3,96% das organizações e, a nível nacional, 5,51%. Na terceira posição encontra-se o Agent Tesla, cujo impacto global foi de 2,76% e nacional de 3,63%.

1. ↑ Dridex – Dridex é um Troiano Bancário que atacas as plataformas Windows, e distribui campanhas de spam e kits de exploração, que usam WebInjects para interecetar e redirigir credenciais bancárias para o servidor controlado pelo atacante. O Dridex contacta um servidor remote, envia informação sobre o Sistema infetado e pode fazer download e executar módulos para control remoto.
2. ↑ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. ↓ Trickbot – Trickbot é uma variante do Dyre que emergiu em Outubro de 2016. Desde então, tem atacado utilizadores bancários, principalmente na Austrália e Reino Uindo, e mais recentemente tem estado focado na Índia, Singapura e Malásia.
   

Top Global de famílias de malware

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês o Dridex manteve-se no 1º lugar, impactando 4% das organizações a nível global, seguido pelo Agent Tesla e XMRig impactando de igual modo 3% as organizações a nível mundial respetivamente.

1. ↔ Dridex – Dridex é um Troiano Bancário que atacas as plataformas Windows, e distribui campanhas de spam e kits de exploração, que usam WebInjects para interecetar e redirigir credenciais bancárias para o servidor controlado pelo atacante. O Dridex contacta um servidor remote, envia informação sobre o Sistema infetado e pode fazer download e executar módulos para control remoto.
2. Agent Tesla – Agent Tesla é um Troiano de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imaens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima ( incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook).
3. ↓ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.

As vulnerabilidades mais exploradas de Maio:

Em Maio o “MVPower DVR Remote Code Execution” mantém o 1º lugar da vulnerabilidade mais explorada, impactando 45% das organizações a nível global. A segunda vulnerabilidade mais explorada foi “OpenSSL TLS DTLS Heartbeat Information Disclosure”, seguida de muito próximo pela “Web Server Exposed Git Repository Information Disclosure” impactando 40% e 39% das organizações respetivamente.

1. ↔ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para  executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe  no OpenSSL uma vulnerabilidade na divulgação de informação. Esta deve-se a um erro relativo aos  TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectados.
3. ↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de disponibilização de informação foi reportada no repositório Git. Uma exploração de sucesso desta vulnerabilidade pode permitir o acesso não intencional à informação da conta.

As vulnerabilidades Mobile mais exploradas de Maio:

Este mês, as três principais famílias de malware mobile mudaram totalmente, com a PreAmo em 1º lugar enquanto Mobile malware mais prevalecente, seguido pelo Necro e Hiddad.

1. 1.     PreAmo – PreAmo é um Malware para Android que imita o utilizador ao clicar em banners provenientes de três redes de publicidade: Presage, Admob, e Mopub.

• Necro – Necro é um Trojan Dropper para Android. Consegue efetuar o download de outro malware, mostrando anúncios intrusivos e roubar dinheiro ao cobrar subscrições pagas.

• Hiddad – Hiddad é um Malware para Android que recondiciona apps legítimas e depois disponibiliza-as em lojas de terceiros. A sua principal funcionalidade é disponibilizar anúncios, mas também obter acesso a detalhes de segurança chave existentes no Sistema Operativo.

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, ideintificando mais de 250 milhões de atividades de malware diariamente.

A lista completa das 10 principais famílias de malware de Março pode ser encontrada no Blog da Check Point.

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html