Cuidado com ameaças no mensageiro Zoom. A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou nesta semana o Índice Global de Ameaças referente ao mês de setembro de 2022. E uma das pragas que se destacam no período é o malware Vidar, que chegou à oitava posição da lista, saltando sete colocações em relação a agosto.
O Vidar é uma ameaça que rouba dados (infostealer), que normalmente está atrás de dados bancários. O malware é projetado para abrir acesso backdoor, o que permite aos criminosos obter informações financeiras, credenciais, endereços IP, histórico de navegador e carteiras digitais. O aumento de sua incidência ocorre por meio de sites que distribuem falsas versões do app Zoom. Como exemplo, zoomus[.]website e zoom[-]download[.]space foram usados para atrair usuários para baixar o malware.
“Em termos dos malwares mais prevalentes no mês de setembro, é interessante ver o Vidar saltar para o Top 10 após uma longa ausência. Os usuários do Zoom precisam ficar atentos a links fraudulentos, pois é assim que o malware Vidar tem sido distribuído recentemente. Sempre fique de olho em inconsistências ou palavras com erros ortográficos em URLs. Se parece suspeito, provavelmente é”, ressalta Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
Abaixo estão as 10 principais ameaças detectadas pelo Índice Global de Ameaças em setembro de 2022:
- Formbook: infostealer direcionado ao sistema operacional Windows. Coleta credenciais de vários navegadores da web, coleta capturas de tela, monitora e registra as teclas digitadas e pode baixar e executar arquivos de acordo com as ordens dos atacantes;
- XMRig: software de CPU de código aberto usado para minerar a criptomoeda Monero. Os agentes de ameaças geralmente abusam desse software de código aberto, integrando-o ao malware para realizar mineração ilegal nos dispositivos das vítimas;
- AgentTesla: é um cavalo de troia avançado que funciona como keylogger e ladrão de informações. Ele é capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, fazer capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook);
- Emotet: cavalo de troia avançado, autopropagável e modular. O Emotet costumava ser usado como um trojan bancário e, recentemente, é usado como distribuidor para outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, ele pode se espalhar por meio de e-mails de spam de phishing contendo anexos ou links maliciosos;
- Ramnit: cavalo de troia que rouba informações de sessão da web, dando a seus operadores a capacidade de roubar credenciais de contas para todos os serviços usados pela vítima, incluindo contas bancárias e contas corporativas e de redes sociais;
- SnakeKeylogger: keylogger modular .NET e ladrão de credenciais, sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os agentes de ameaças;
- Phorpiex: botnet (também conhecido como Trik) conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de spam e sextortion em larga escala;
- Vidar: infostealer que tem como alvo os sistemas operacionais Windows, projetado para roubar senhas, dados de cartão de crédito e outras informações confidenciais de vários navegadores e carteiras digitais. O Vidar é vendido em vários fóruns online e usado como um dropper de malware para baixar o ransomware GandCrab como sua carga secundária;
- NJRat: cavalo de troia de acesso remoto, direcionado principalmente a agências e organizações governamentais no Oriente Médio. Captura de teclas, acesso à câmera da vítima, roubo de credenciais armazenadas em navegadores, upload e download de arquivos, execução de processos e manipulações de arquivos e visualização da área de trabalho da vítima. O NJRat infecta as vítimas por meio de ataques de phishing e downloads drive-by e se propaga por meio de chaves USB infectadas ou unidades de rede;
- Remcos: cavalo de troia de acesso remoto que se distribui por meio de documentos maliciosos do Microsoft Office, anexados a e-mails de SPAM, e foi projetado para contornar a segurança do UAC do Microsoft Windows e executar malware com privilégios de alto nível;
Roubos de dados no Brasil em setembro
O Índice Global de Ameaças da CPR também avalia os setores mais atacados mundialmente: em primeiro lugar em setembro ficaram os de Educação/Pesquisa, enquanto em segundo ficaram os de Governo/Militar; e, em terceiro, Saúde. No Brasil, os setores mais visados pelos cibercriminosos no mês passado foram os de Saúde, Governo/Militar e Transportes, respectivamente.
O principal malware no Brasil em setembro também foi o Formbook com incidência de 4,28%, superior ao impacto global de 2,96%. Já o malware SnakeKeylogger apareceu em segundo, com 2,10%; o Emotet ficou em terceiro com 1,82%.
Por: Claudio Yuge