Tecnologia

Emotet contorna os bloqueios da Microsoft para distribuir vírus no OneNote

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, publicou o Índice Global de Ameaças referente ao mês de março de 2023. No mês passado, os pesquisadores descobriram uma nova campanha de malware para o Emotet Trojan, que se tornou o segundo malware mais prevalente no ranking global e o quinto na lista do Brasil.

LEIA MAIS: Cavalo de Tróia: saiba como proteger seu celular do malware

Conforme relatado no início deste ano, os atacantes do Emotet têm explorado maneiras alternativas de distribuir arquivos maliciosos desde que a Microsoft anunciou que bloqueará macros de arquivos do Office. Na última campanha, esses atacantes adotaram uma nova estratégia de envio de e-mails de spam contendo um arquivo malicioso do OneNote. 

Uma vez aberta, uma mensagem falsa aparece para induzir a vítima a clicar no documento, o qual baixa a infecção do Emotet. Depois de instalado, o malware pode coletar dados de e-mail do usuário, como credenciais de login e informações de contato. Os cibercriminosos usam as informações coletadas para expandir o alcance da campanha e facilitar ataques futuros. 

Emotet no Brasil

No Brasil, o Emotet aparece em quinto lugar no ranking de top malware com 5% de impacto (o impacto global é de 3,90%); em fevereiro este malware figurava na sétima posição. O avanço é graças à nova campanha de e-mails de spam contendo arquivos maliciosos do OneNote, segundo a CPR.  

Contudo, os brasileiros devem continuar atentos também em relação ao malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado. O Qbot segue na liderança da lista nacional pelo quarto mês consecutivo e com alto impacto nas organizações no Brasil, com 21,63% delas sendo vítima em março. Estes índices do Qbot têm se mantido praticamente o dobro em relação aos respectivos globais. 

O AgentTesla subiu para o segundo lugar com impacto de 7,16%, enquanto o Remcos foi para o terceiro lugar com impacto de 6,49%.  

A equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade global mais explorada em março, impactando 44% das organizações em todo o mundo, seguida pela “HTTP Headers Remote Code Execution”, com um impacto de 43%; enquanto a “MVPower DVR Remote Code Execution” foi a terceira vulnerabilidade mais usada, com um impacto global de 40%. 

Principais famílias de malware

Em março passado, o Qbot foi o malware mais difundidos no mês com um impacto de mais de 10% das organizações em todo o mundo, seguido pelo Emotet e Formbook ambos com 4%. As setas referem-se à mudança na classificação em comparação com o mês anterior. 

? Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção. 

? Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos. 

? Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle). 

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em março, Educação/Pesquisa firmou-se na liderança da lista como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde. Estes três setores ocupam estas mesmas posições na lista global da Check Point Software desde o mês de agosto de 2022. 

No Brasil, os três setores no ranking nacional mais visados em março passado foram: Governo/Militar, Saúde e Comunicações. 

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).