O relatório de ciberameaças de janeiro da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, aponta que o principal malware que atacou o Brasil foi um cavalo de Troia. O vírus Qbot é usado para roubar credenciais bancárias ao visualizar o que o usuário digita no teclado.
Geralmente, o Qbot é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção por ferramentas de antivírus. Ele liderou a lista nacional pelo segundo mês consecutivo, mantendo alto impacto nas organizações no País – de 16,58% em dezembro de 2022 e 16,44% em janeiro de 2023 – em ambos os meses, os índices foram de praticamente o dobro em relação àqueles globais.
LEIA MAIS: Novo vírus bancário faz vítimas no Brasil
No ranking d estudo da CPR, quem está em segundo lugar é o Cerbu, um cavalo de Troia que grava arquivos em pastas temporárias do Windows, aparece em segundo lugar na lista brasileira, com impacto de 6,43%. O XMRig, que transforma computadores em mineradores de criptomoedas, ficou em terceiro com 5% de impacto.
O estudo também mostrou os três setores no ranking nacional mais visados em janeiro passado, que foram Governo e Militar, Utilities (serviços de água, energia e gás) e Saúde.
Cenário global
No cenário global, a CPR destaca o Infostealer Vidar, que voltou à lista dos dez primeiros em sétimo lugar, após um aumento nos casos de brandjacking (junção das palavras “marca” e “hijacking”) e o lançamento de uma grande campanha de phishing de malware njRAT no Oriente Médio e no norte da África.
Em janeiro, o Infostealer Vidar foi visto sendo disseminado por meio de domínios falsos alegando estar associado à empresa de software de desktop remoto AnyDesk. O malware usou o roubo de URL para vários aplicativos populares para redirecionar as pessoas para um único endereço IP que afirmava ser o site oficial do AnyDesk.
Depois de baixado, o malware se disfarçou como um instalador legítimo para roubar informações confidenciais, como credenciais de login, senhas, dados da carteira de criptomoedas e detalhes bancários.
Os pesquisadores também identificaram uma grande campanha apelidada de Earth Bogle, direcionando o malware njRAT a alvos em todo o Oriente Médio e no norte da África. Os atacantes usaram e-mails de phishing contendo temas geopolíticos, induzindo os usuários a abrir anexos maliciosos.
Depois de baixado e aberto, o cavalo de Troia pode infectar os dispositivos, permitindo que os atacantes realizem inúmeras atividades intrusivas para roubar informações confidenciais. O njRAT ocupou o décimo lugar na lista global dos principais malwares, tendo caído de posição após setembro de 2022.
Principais famílias de malware
Em janeiro passado, o Qbot e o Lokibot foram os malwares mais difundidos no mês, impactando mais de 6% das organizações em todo o mundo respectivamente, seguidos por AgentTesla com impacto global de 5%. As setas referem-se à mudança na classificação em comparação com o mês anterior.
? Qbot – Qbot AKA Qakbot é o mesmo vírus que ganhou destaque no Brasil, sendo que apareceu pela primeira vez em 2008.
? Lokibot – LokiBot é um infostealer de commodities com versões para os sistemas operacionais Windows e Android identificadas pela primeira vez em fevereiro de 2016. Ele coleta credenciais de vários aplicativos, navegadores da Web, clientes de e-mail, ferramentas de administração de TI, como PuTTY e muito mais. O LokiBot é vendido em fóruns de hackers e acredita-se que seu código-fonte vazou, permitindo o aparecimento de inúmeras variantes. Desde o final de 2017, algumas versões do LokiBot para Android incluem a funcionalidade de ransomware, além de seus recursos de roubo de informações.
? AgentTesla – AgentTesla é um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
O estudo de ameaças da CPR é alimentado pelos dados capturados de forma consensual e anônima de clientes que utilizam suas soluções de segurança da informação. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão CPR.
