Log4j abre portas para novos ataques, mas ransomware e RAT estão em declínio, aponta Avast

Author Photo
10:00 pm - 07 de fevereiro de 2022
hacker cibersegurança crânio

O relatório de ameaças cibernéticas do quarto trimestre de 2021, da Avast, revela intensa exploração da vulnerabilidade Log4j por mineradores de moedas, RATs, botnets, ransomware e APTs em dezembro, colocando os departamentos de CISOs sob pressão. Os pesquisadores também observaram a botnet Emotet ressurgir e um aumento de 40% na mineração de moedas, representando riscos para os consumidores e as empresas.

“No final do ano, a vulnerabilidade Log4j extremamente perigosa, onipresente e fácil de abusar fez com que os departamentos de CISO trabalhassem mais, e com razão, pois os invasores disseminaram tudo: desde mineração de moedas até bots e ransomware”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast.

O relatório da Avast mostra também um crescimento de adware, golpes de suporte técnico em desktops, golpes de assinatura e spyware em dispositivos Android, mirando os consumidores. Ao mesmo tempo, a Avast observou uma redução da atividade de ransomware e trojan de acesso remoto (RAT).

“Vimos uma ligeira redução da atividade de roubo de informações, provavelmente devido a uma diminuição significativa de infecções através do Fareit – um ladrão de senhas e informações – , com queda de 61% em comparação com o trimestre anterior”, observa Kroustek. “O estrago que o ransomware causou nos primeiros três trimestres de 2021 desencadeou uma cooperação coordenada de nações, agências governamentais e fornecedores de segurança para caçar os autores e os operadores de ransomware”.

Ainda segundo Kroustek, a taxa de risco de ransomware teve uma redução “impressionante” de 28%, em relação ao terceiro trimestre de 2021. “Prevemos que essa tendência deve continuar no primeiro trimestre de 2022, mas também estamos preparados para o oposto”, adiciona.

O relatório também destacou os trojans bancários Chaes e o Ousaban, que miraram especificamente os brasileiros no quarto trimestre de 2021, sobretudo com o aumento das atividades do Chaes, no último trimestre de 2021. O Chaes foi projetado para roubar credenciais de login armazenadas no navegador Chrome, número das contas bancárias, saldo das contas e muito mais dados relacionados a serviços bancários populares de sites do Brasil, como Mercado Bitcoin, Mercado Pago, Mercado Livre, Loja Integrada e Internet Banking da Caixa.

A Avast detectou e bloqueou o trojan bancário Chaes de infectar mais de 66.000 clientes da Avast no Brasil, no quarto trimestre de 2021, e mais de 6.000 usuários brasileiros contra o Ousaban, que existe desde 2018 e foi projetado para roubar credenciais e informações de login de bancos on-line.

Log4j e RATs

Os pesquisadores da Avast observaram coinminers, RATs, bots, ransomware e grupos APT abusando da vulnerabilidade Log4j. Várias botnets abusaram da vulnerabilidade, incluindo a botnet Mirai.

Embora a maioria dos ataques de bots sejam apenas sondas testando a vulnerabilidade, os pesquisadores observaram várias tentativas de carregamento de código potencialmente malicioso. Por exemplo, alguns RATs, como NanoCore, AsyncRat e Orcus, foram espalhados a partir do uso da vulnerabilidade.

Os cibercriminosos também exploraram a vulnerabilidade CVE-2021-40449, usada para elevar permissões de processos maliciosos explorando o driver do kernel do Windows. Os invasores usaram essa vulnerabilidade para baixar e iniciar o RAT MistarySnail.

Além disso, uma causa muito importante para as altas detecções de NanoCore e AsyncRat foi gerada por uma campanha maliciosa, que abusava dos provedores de nuvem, Microsoft Azure e Amazon Web Service (AWS). Nesta campanha, os invasores de malware usaram o Azure e a AWS como servidores de download para suas cargas maliciosas com intuito de atacar as empresas, destaca o relatório da Avast.

Adicionalmente, os pesquisadores da Avast viram os maus agentes por trás do Emotet reescrever várias de suas partes, reativando as suas máquinas e retomando o mercado de botnets e fazendo ressurgir o Emotet.

As atividades de adware e rootkit para desktop também aumentaram no quarto trimestre de 2021. Os pesquisadores da Avast acreditam que essas tendências estão relacionadas ao rootkit Cerbu, que pode sequestrar as páginas iniciais do navegador e redirecionar URLs do site de acordo com a configuração do rootkit.

Coinminers

De acordo com o relatório, o número de mineradores de criptomoedas cresceu 40%, geralmente por meio de páginas web infectadas e software pirata. O CoinHelper foi um dos mineradores de moedas predominantes e muito ativo durante o quarto trimestre de 2021, visando principalmente os usuários na Rússia e na Ucrânia. O CoinHelper coleta várias informações sobre as suas vítimas, incluindo a sua geolocalização, solução antivírus que eles instalaram e hardware que estão usando.

Apesar de observar várias criptomoedas configuradas para serem mineradas, incluindo Ethereum e Bitcoin, a Monero se destacou para os pesquisadores da Avast. A Monero foi projetada para ser anônima, no entanto, o uso incorreto de endereços e a mecânica de como minerar pools de trabalho, permitiram que os pesquisadores obtivessem informações mais detalhadas sobre a operação de mineração da Monero por parte dos autores do malware.

Eles descobriram que o ganho monetário total do minerador de moedas CoinHelper foi de US$ 339.694,86 em 29 de novembro de 2021. No mês de dezembro, este minerador extraiu um adicional de ~15.162 XMR (US$ 3.446,03). O CoinHelper ainda está se espalhando de forma ativa, com a capacidade de minerar ~0,474 XMR (US$ 87,31) diariamente, segundo a Avast.

Os pesquisadores de cibersegurança também observaram um pico nos golpes de suporte técnico, induzindo o usuário a acreditar que eles têm um problema técnico e enganando-os para ligar para uma linha de atendimento, onde são enganados para fazer o pagamento de altas taxas de suporte ou conceder acesso remoto ao seu sistema. Eles também identificaram golpes de assinatura SMS premium e spyware que roubam credenciais do Facebook, sendo espalhados nos dispositivos móveis.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.