Apache Log4j e Trickbot foram malwares mais predominantes em dezembro

A Check Point Research (CPR), divisão de Inteligência em
Ameaças da Check Point Software Technologies, divulgou o Índice Global de
Ameaças referente ao mês de dezembro de 2021. Em um mês em que a
vulnerabilidade do Apache Log4j varreu a Internet, os pesquisadores relataram
que o Trickbot ainda é o malware mais predominante, embora em uma taxa um pouco
menor, afetando 4% das organizações em todo o mundo (5% em novembro). O recém
ressurgente Emotet subiu rapidamente da sétima posição para o segundo lugar no
ranking global.

No último mês de 2021, a “Apache Log4j Remote Code
Execution” foi a vulnerabilidade mais explorada, afetando 48,3% das
organizações globalmente. A vulnerabilidade foi relatada pela primeira vez em 9
de dezembro no pacote de log do Apache Log4j — a biblioteca de log Java mais
popular. A vulnerabilidade causou uma nova praga, impactando quase metade de
todas as empresas do mundo em um espaço de tempo muito curto. No Brasil, o
impacto dessa vulnerabilidade correspondeu, até o momento, a 59% das redes
corporativas que sofreram tentativas de exploração.

Os cibercriminosos são capazes de explorar aplicativos
vulneráveis para executar cryptojackers e outros malwares em servidores
comprometidos. Até agora, a maioria dos ataques se concentrava no uso de
mineração de criptomoedas às custas das vítimas, no entanto, os hackers
começaram a agir de forma agressiva e aproveitar a violação em alvos de alta
qualidade.

“O Log4j dominou as manchetes em dezembro. É uma das
vulnerabilidades mais sérias que já testemunhamos e, devido à complexidade de
corrigi-la e à facilidade de exploração, é provável que permaneça conosco por
muito tempo, a menos que as empresas tomem medidas imediatas para evitar
ataques”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point
Software Technologies.

Segundo a pesquisa, Educação / Pesquisa é o setor mais
atacado globalmente, seguido por Governo/Militar e ISP/MSP. A “Apache Log4j
Remote Code Execution” tem sido a vulnerabilidade mais comum explorada,
impactando 48,3% das organizações globalmente, seguida por “Web Server Exposed
Git Repository Information Disclosure” que afeta 43,8% das organizações no
mundo. A “HTTP Headers Remote Code Execution” permanece em terceiro lugar na
lista de vulnerabilidades mais exploradas, com um impacto global de 41,5%.

Principais famílias de malware

* As setas referem-se à mudança na classificação em
comparação com o mês anterior.

↔ Trickbot – É um trojan bancário dominante, constantemente
atualizado com novos recursos e vetores de distribuição, permitindo que seja um
malware flexível e personalizável que pode ser distribuído como parte de
campanhas multifuncionais.

↑ Emotet – É um trojan avançado, auto propagável e modular.
O Emotet era anteriormente um trojan bancário e recentemente foi usado como
distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos
para manter técnicas de persistência e evasão para evitar a detecção. Além
disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou
links maliciosos.

↔ Formbook – É um InfoStealer que coleta credenciais de
vários navegadores da web, imagens, monitora e registra pressionamentos de
tecla e pode baixar e executar arquivos de acordo com seus pedidos C&C.

No Brasil, os três setores mais visados em dezembro
foram:

1. Integradores de Sistema/VAR – Value Added
Reseller/Distribuidores

2. Varejo/Atacado

3. Saúde

Principais vulnerabilidades exploradas

↑ Apache Log4j Remote Code Execution (CVE-2021-44228) –
Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A
exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante
remoto execute código arbitrário no sistema afetado.

↔ Web Server Exposed Git Repository Information Disclosure –
a vulnerabilidade de divulgação de informações foi relatada no Repositório Git.
A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não
intencional de informações da conta.

↔ HTTP Headers Remote Code Execution
(CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) — Os HTTP
Headers permitem que o cliente e o servidor passem informações adicionais com
uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável
para executar um código arbitrário na máquina da vítima.

Principais malwares móveis

AlienBot – A família de malware AlienBot é um
Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante
remoto, como primeira etapa, injetar código malicioso em aplicativos
financeiros legítimos. O atacante obtém acesso às contas das vítimas e,
eventualmente, controla completamente o dispositivo.

xHelper – Um aplicativo Android malicioso, observado desde
março de 2019, usado para baixar outros aplicativos maliciosos e exibir
anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso
seja desinstalado.

FluBot – É um malware de rede de bots Android distribuído
por meio de mensagens SMS de phishing, na maioria das vezes se passando por
marcas de entrega e logística. Assim que o usuário clica no link inserido na
mensagem, o FluBot é instalado e obtém acesso a todas as informações
confidenciais no telefone.

Os principais malwares de dezembro no Brasil

O principal malware no Brasil em dezembro de 2021 foi o
Emotet, com 6,28% de impacto nas organizações. O Trickbot ocupou o segundo
lugar (4,58%) no ranking nacional, enquanto o Glupteba (3,10%) continuou em
terceiro.