Fique atento: crescem os links falsos do Zoom para roubo de dados bancários

Cuidado com ameaças no mensageiro Zoom. A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou nesta semana o Índice Global de Ameaças referente ao mês de setembro de 2022. E uma das pragas que se destacam no período é o malware Vidar, que chegou à oitava posição da lista, saltando sete colocações em relação a agosto.

• Conheça principais ameaças em navegadores e como se proteger
• Como as ameaças digitais evoluíram nos últimos 10 anos?

O Vidar é uma ameaça que rouba dados (infostealer), que normalmente está atrás de dados bancários. O malware é projetado para abrir acesso backdoor, o que permite aos criminosos obter informações financeiras, credenciais, endereços IP, histórico de navegador e carteiras digitais. O aumento de sua incidência ocorre por meio de sites que distribuem falsas versões do app Zoom. Como exemplo, zoomus[.]website e zoom[-]download[.]space foram usados para atrair usuários para baixar o malware.

“Em termos dos malwares mais prevalentes no mês de setembro, é interessante ver o Vidar saltar para o Top 10 após uma longa ausência. Os usuários do Zoom precisam ficar atentos a links fraudulentos, pois é assim que o malware Vidar tem sido distribuído recentemente. Sempre fique de olho em inconsistências ou palavras com erros ortográficos em URLs. Se parece suspeito, provavelmente é”, ressalta Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

Abaixo estão as 10 principais ameaças detectadas pelo Índice Global de Ameaças em setembro de 2022:

1. Formbook: infostealer direcionado ao sistema operacional Windows. Coleta credenciais de vários navegadores da web, coleta capturas de tela, monitora e registra as teclas digitadas e pode baixar e executar arquivos de acordo com as ordens dos atacantes;
2. XMRig:software de CPU de código aberto usado para minerar a criptomoeda Monero. Os agentes de ameaças geralmente abusam desse software de código aberto, integrando-o ao malware para realizar mineração ilegal nos dispositivos das vítimas;
3. AgentTesla: é um cavalo de troia avançado que funciona como keylogger e ladrão de informações. Ele é capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, fazer capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook);
4. Emotet: cavalo de troia avançado, autopropagável e modular. O Emotet costumava ser usado como um trojan bancário e, recentemente, é usado como distribuidor para outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, ele pode se espalhar por meio de e-mails de spam de phishing contendo anexos ou links maliciosos;
5. Ramnit: cavalo de troia que rouba informações de sessão da web, dando a seus operadores a capacidade de roubar credenciais de contas para todos os serviços usados ​​pela vítima, incluindo contas bancárias e contas corporativas e de redes sociais;
6. SnakeKeylogger: keylogger modular .NET e ladrão de credenciais, sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os agentes de ameaças;
7. Phorpiex: botnet (também conhecido como Trik) conhecido por distribuir outras famílias de malware por meio de campanhas de spam, além de alimentar campanhas de spam e sextortion em larga escala;
8. Vidar: infostealer que tem como alvo os sistemas operacionais Windows, projetado para roubar senhas, dados de cartão de crédito e outras informações confidenciais de vários navegadores e carteiras digitais. O Vidar é vendido em vários fóruns online e usado como um dropper de malware para baixar o ransomware GandCrab como sua carga secundária;
9. NJRat: cavalo de troia de acesso remoto, direcionado principalmente a agências e organizações governamentais no Oriente Médio. Captura de teclas, acesso à câmera da vítima, roubo de credenciais armazenadas em navegadores, upload e download de arquivos, execução de processos e manipulações de arquivos e visualização da área de trabalho da vítima. O NJRat infecta as vítimas por meio de ataques de phishing e downloads drive-by e se propaga por meio de chaves USB infectadas ou unidades de rede;
10. Remcos: cavalo de troia de acesso remoto que se distribui por meio de documentos maliciosos do Microsoft Office, anexados a e-mails de SPAM, e foi projetado para contornar a segurança do UAC do Microsoft Windows e executar malware com privilégios de alto nível;

Roubos de dados no Brasil em setembro

O Índice Global de Ameaças da CPR também avalia os setores mais atacados mundialmente: em primeiro lugar em setembro ficaram os de Educação/Pesquisa, enquanto em segundo ficaram os de Governo/Militar; e, em terceiro, Saúde. No Brasil, os setores mais visados pelos cibercriminosos no mês passado foram os de Saúde, Governo/Militar e Transportes, respectivamente.

O principal malware no Brasil em setembro também foi o Formbook com incidência de 4,28%, superior ao impacto global de 2,96%. Já o malware SnakeKeylogger apareceu em segundo, com 2,10%; o Emotet ficou em terceiro com 1,82%.