Trickbot afetou 9% das organizações portuguesas

A Check Point Research (CPR) publicou o Índice Global de Ameaças referente a outubro de 2021. Os investigadores reportam que o botnet modular e trojan bancário Trickbot se mantém no topo da lista de malware mais prevalente, afetando 4% das organizações a nível mundial e 9% das organizações em Portugal. O relatório mensal destaca ainda a vulnerabilidade “Apache HTTP Server Directory Traversal” que em outubro entrou no top 10 de vulnerabilidades mais exploradas. A CPR revela, por fim, que o setor mais atacado este mês foi a Educação/Investigação.

O Trickbot pode roubar detalhes financeiros, credenciais de conta e informações pessoais, bem como disseminar-se lateralmente numa determinada rede e implementar ransomware. Desde a retirada do Emotet em janeiro, o Trickbot figurou 5 vezes o topo da lista de malware mais prevalente. Está em constante atualização com novas capacidades, funcionalidades e vetores de distribuição, o que lhe confere uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos. 

Uma nova vulnerabilidade, "Apache HTTP Server Directory Traversal", entrou no top dez de vulnerabilidades mais exploradas em outubro, em décimo lugar. Quando foi descoberta, os programadores da Apache lançaram correções para a CVE-2021-41773 no Apache HTTP Server 2.4.50. Contudo, concluiu-se que a patch era insuficiente, existindo ainda uma vulnerabilidade no Apache HTTP Server, cuja exploração pode resultar no acesso de atacante a ficheiros arbitrários do sistema afetado.

"A vulnerabilidade no Apache foi descoberta no início de outubro e já é uma das dez vulnerabilidades mais exploradas em todo o mundo, mostrando a rapidez com que os atacantes se movem. Esta vulnerabilidade pode levar os agentes maliciosos a mapear URLs para implementar um ataque de passagem de diretório", afirma, em comunicado, Maya Horowitz, VP Research na Check Point Software. "É imperativo que os utilizadores do Apache disponham de tecnologias de proteção apropriadas. Este mês, o Trickbot, que é frequentemente utilizado para implementar ransomware, é mais uma vez o malware mais prevalente. Globalmente, uma em cada 61 organizações é impactada por ransomware todas as semanas. É um número chocante e as empresas precisam de fazer mais. Muitos ataques começam com um simples email, pelo que educar os utilizadores sobre como identificar uma potencial ameaça é uma das defesas mais importantes que uma organização pode implementar". 

A equipa de investigação da Check Point Research informa ainda que, em outubro, o setor mais visado por ciberataques foi a Educação/Investigação. A vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais comummente explorada, impactando 60% das organizações a nível global, seguida da “Web Server Exposed Git Repository Information Disclosure”, com um impacto de 55% e, em terceiro lugar, a “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 54% das organizações do mundo. 

Principais famílias malware de outubro em Portugal 

Este mês, o Trickbot foi o malware mais popular da lista, com um impacto de 4% das organizações no mundo. Seguiu-se o XMRig e o Remcos com um impacto de 3% e 2%, respetivamente. A nível nacional, o lugar de destaque é igualmente do Trickbot que, em outubro, afetou 9% das organizações portuguesas. Segue-se o Nanocore, trojan de acesso remoto que visa utilizadores do sistema operativo Windows, e o XMRig, ambos responsáveis por impactar 6% das organizações a nível nacional. 

1. Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. Remcos - Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office que são anexados a emails SPAM e foi concebido para contornar a segurança UAC do Microsoft Windows e executar malware com privilégios de alto nível.

Principais vulnerabilidades exploradas

Em outubro, a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, com um impacto global de 60% das organizações, seguido da “Web Server Exposed Git Repository Information Disclosure”, responsável por impactar 55% das organizações a nível mundial. A vulnerabilidade “HTTP Headers Remote Code Execution” manteve-se em terceiro lugar, com um impacto global de 54%.

1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A sua exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
2. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. 

Principais Mobile Malwares

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
2. AlienBot - A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
3. XLoader – Xloader é um Spyware para Android e trojan bancário desenvolvido pelo Yanbian Gang, um grupo de hacking chinês. Este malware usa um DNS de falsificação para distribuir. Este malware utiliza o DNS spoofing para distribuir aplicações Android infectadas para recolher informações pessoais e financeiras.