14/03/2024 às 13h42min - Atualizada em 15/03/2024 às 00h08min
Sites WordPress atacados via nova campanha de malware
Pesquisadores da Check Point Research descobriram uma nova campanha com o malware FakeUpdates que visa e compromete sites WordPress com contas de administrador pirateadas; no Brasil, o FakeUpdates figura em segundo lugar no ranking Top Malware
Imagem ilustrativa - Divulgação Check Point Software
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de fevereiro.
No mês passado, os pesquisadores descobriram uma nova campanha de FakeUpdates que comprometia os sites WordPress. Estes sites foram infectados através de contas de administrador wp-admin pirateadas, com o malware adaptando suas táticas para se infiltrar em sites, utilizando edições alteradas de plugins WordPress autênticos e enganando os usuários para que baixassem um Trojan de Acesso Remoto (RAT).
O FakeUpdates, também conhecido como SocGholish, opera desde 2017 e utiliza malware JavaScript para atacar os sites, especialmente aqueles com sistemas de gestão de conteúdo. Muitas vezes classificado como o malware mais prevalente no índice global Top Malware, o FakeUpdates visa enganar os usuários para que baixem software malicioso e, apesar dos esforços para o impedir, continua a ser uma ameaça significativa para a segurança dos sites e para os dados dos usuários.
Esta sofisticada variante de malware FakeUpdates foi anteriormente associada ao grupo russo de cibercrime conhecido como Evil Corp. Devido à sua funcionalidade de downloader, acredita-se que o grupo rentabiliza o malware vendendo o acesso aos sistemas que infecta, levando a outras infecções por malware se o grupo fornecer acesso a vários clientes.
"Os sites são as vitrines digitais do nosso mundo, cruciais para comunicação, comércio e conexão", afirma Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "Defendê-los das ciberameaças não se trata apenas de proteger o código, mas sim de garantir a nossa presença online e as funções essenciais da nossa sociedade interligada. Se os cibercriminosos optarem por utilizá-los como um veículo para propagação de malware secretamente, isso poderá impactar a geração de receitas futuras e a reputação de uma organização. É vital implementar medidas preventivas e adotar uma cultura de tolerância zero para garantir uma proteção absoluta contra as ameaças", completa Maya.
Além dos malwares, a equipe da CPR destaca os principais grupos de ransomware de dupla extorsão de 200 “sites da vergonha” (“shame sites”) do mês passado. Mesmo depois de ter sido divulgada sua eliminação no final de fevereiro, o Lockbit3 continuou a ser o grupo de ransomware mais prevalente, responsável por 20% dos ataques publicados, seguido pelo Play com 8% e do 8base com 7%. Ao ingressar nesta lista pela primeira vez como Top 3, o Play reivindicou a responsabilidade por um recente ciberataque à cidade de Oakland (EUA).
Quanto às vulnerabilidades, no mês passado, a mais explorada foi a "Web Servers Malicious URL Directory Traversal", afetando 51% das organizações a nível mundial, seguida de "Command Injection Over HTTP" e "Zyxel ZyWALL Command Injection", ambas com 50% de impacto.
Principais famílias de malware * As setas referem-se à mudança na classificação em comparação com o mês anterior. O FakeUpdates foi o malware mais prevalente em fevereiro de 2024, com um impacto de 5% nas organizações mundiais, seguido do Qbot, com um impacto global de 3%, e do Formbook, com um impacto global de 2%.
O Qbot voltou com tudo à liderança do ranking no Brasil em fevereiro com impacto nacional de 14,76%, quase três vezes mais que o impacto global.
Top 3 global
↔ FakeUpdates - Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.A partir de 2022, emergiu como um dos Trojans mais prevalentes.
↔ Formbook - É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
A lista global completa das dez principais famílias de malware em fevereiro de 2024 pode ser encontrada no blog da Check Point Software.
Principais vulnerabilidades exploradas
Em fevereiro, a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 51% das organizações a nível mundial, seguida pela "Command Injection Over HTTP" e da "Zyxel ZyWALL Command Injection", com um impacto global de 50%, respectivamente.
↑ Servidores Web Travessia de diretório de URL malicioso (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Há uma vulnerabilidade de passagem de diretório em diferentes servidores da Web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor da Web que não higieniza adequadamente o URI para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que invasores remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
↓ Injeção de comando sobre HTTP (CVE-2021-43936, CVE-2022-24086) - Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um invasor remoto pode explorar esse problema enviando uma solicitação especialmente criada para a vítima. Uma exploração bem-sucedida permitiria que um invasor executasse um código arbitrário no computador de destino.
↑ Injeção de comando Zyxel ZyWALL (CVE-2023-28771) - Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que invasores remotos executassem comandos arbitrários do sistema operacional no sistema afetado.
Principais malwares móveis
No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Hiddad.
1. Anubis - O Anubis é um malware de Trojan bancário projetado para telefones celulares Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Ele foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
2. AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicativos Android que podem ser encontradas em lojas de apps e vários sites. Quando um usuário instala um destes aplicativos infectados, o malware pode recolher informações sensíveis do dispositivo e realizar ações como o registo de teclas, tirar capturas de tela, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis.
3. Hiddad - O Hiddad é um malware para Android que reembala aplicativos legítimos e depois as lança numa loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operacional.
Principais setores atacados no mundo e no Brasil
Em fevereiro de 2024, a Educação/Pesquisa prosseguiu como o setor mais atacado a nível mundial, seguido pelo Governo/Forças Armadas e pela Saúde.
Esta seção apresenta informações derivadas de quase 200 "sites de vergonha" de ransomware operados por grupos de ransomware de dupla extorsão. Os cibercriminosos utilizam estes sites para aumentar a pressão sobre as vítimas que não pagam o resgate imediatamente.
Os dados destes “sites da vergonha” têm as suas próprias tendências, mas ainda assim fornecem informações importantes sobre o ecossistema do ransomware, que é atualmente o risco número um às organizações.
O LockBit3 foi o grupo de ransomware mais prevalente no mês passado, responsável por 20% dos ataques publicados, seguido pelo Play com 8% e 8base com 7%.
1.LockBit3 – LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.
2. Play - Play é o nome de um programa do tipo ransomware. O malware classificado como tal opera criptografando dados e exigindo resgates para a descriptografia.
3.8base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento em suas atividades. Este grupo foi observado usando uma série de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.
Os principais malwares de fevereiro no Brasil
No mês passado, o ranking de ameaças do Brasil contou com o Qbot permanecendo na liderança do ranking (já indicada em janeiro deste ano) com impacto de 14,76%; em segundo lugar, o FakeUpdates cujo impacto foi de 12,40% (mais que o global de 5,30%); enquanto o NJRat aparece em terceiro lugar com impacto de 3,27%.
Imagem ilustrativa - Divulgação Check Point Software
