A Check Point Research (CPR), divisão de Inteligência em Ameaças da desenvolvedora de soluções de cibersegurança Check Point Software Technologies, divulgou o Índice Global de Ameaças referente ao mês de maio de 2023. No recorte para o Brasil, a principal ameaça é um vírus capaz de roubar informações bancárias de usuários, podendo causar grandes prejuízos financeiros para pessoas e empresas.
LEIA MAIS: Empresa alerta sobre malware que se disfarça como um aplicativo Android
Segundo o levantamento, o malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, está há seis meses consecutivos na liderança do índice brasileiro. Em maio, 13,94% das empresas brasileiras foram alvos do vírus e protegidas pelas ferramentas da Check Point.
A boa notícia é que este foi o menor índice de ataques do Qbot nos últimos seis meses. Em abril, 19,10% das empresas brasileiras tinham sido alvo; 21,63% em março; 19,84% em fevereiro; 16,44% em janeiro; e 16,58% em dezembro de 2022. No entanto, são todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos globais. Para se ter noção, o Qbot atinge 5,88% das empresas na média global.
O “pódio” brasileiro de ciberameaças é complementado pelo Emotet, que caiu para o terceiro lugar com impacto de 3,73% nas empresas, enquanto o XMRig subiu para o segundo lugar com impacto de 4,79%.
Ainda de acordo com o estudo, os quatro setores no ranking nacional mais visados em maio permanecem nas mesmas posições indicadas em abril, com Comunicações em primeiro, seguido por Utilities; Governo/Militar; e Saúde, respectivamente.
No ranking global, quem chama a atenção é o malware GuLoader, amplamente utilizado por cibercriminosos para burlar a detecção de antivírus, que passou por mudanças significativas. A última renovação emprega uma técnica sofisticada de substituição de código em um processo legítimo, facilitando sua evasão das ferramentas de segurança de monitoramento de processos.
As cargas (payloads) são totalmente criptografadas e armazenadas sem serem detectadas em serviços renomados de nuvem públicas, incluindo o Google Drive. Essa combinação exclusiva de criptografia, formato binário bruto e separação do carregador torna as cargas invisíveis para programas antivírus, representando uma ameaça significativa para usuários e empresas em todo o mundo.
No mês passado, Qbot e Anubis também ficaram em primeiro lugar em suas respectivas listas. Apesar dos esforços para desacelerar a distribuição de malware bloqueando macros em arquivos do Office, os operadores do Qbot foram rápidos em adaptar sua distribuição e entrega. Recentemente, o Qbot foi visto abusando de uma falha de sequestro de biblioteca de códigos e dados (DLL – Dynamic-Link Library) no programa WordPad do Windows 10 para infectar computadores.
A equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada em maio, impactando 49% das organizações em todo o mundo, seguida pela “Apache Log4j Remote Code Execution” e pela “HTTP Headers Remote Code Execution”, com impactos de 45% e 44%, respectivamente, nas organizações.
O Anubis é outro cavalo de Troia bancário, mas com alvo em smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de acesso remoto a dispositivos, visualização de digitação do teclado, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
Outro trojan de acesso remoto a smartphones é o AhMyth, descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
Por fim, em terceiro lugar, aparece o Hiddad, um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela solução ThreatCloud da Check Point, que recolhe dados anonimizados de usuários de soluções de segurança da companhia.