Malwares que preparam ataques ransomware foram as ameaças mais comuns em julho

A edição mais recente do ranking mensal de ameaças detectadas pela Check Point Research (CPR) reflete uma tendência de alta no número de ataques de ransomware. Mesmo sendo alvo de campanhas lideradas por empresas como a Microsoft, o Trickbot ainda é a ameaça mais detectada no mundo. Com transformações constantes, ele é um cavalo de Troia que rouba dados bancários e pode ser personalizado para abrir portas para outras ameaças.

• Botnet e trojan bancário, Trickbot lidera lista de malwares mais usados em maio
• Senhas e criptomoedas são maiores focos de ataques usando pandemia
• Ataques de ransomware explodem no Brasil com alta de 92% desde o início do ano

Em segundo lugar da lista surge o Snake Keylogger, ameaça detectada pela primeira vez em novembro de 2020 e ganhou popularidade graças a uma intensa campanha de e-mails de phishing. Sua função principal é roubar senhas, dados bancários, informações sobre cartões de crédito e outros dados pessoais através da captura de tudo o que é digitado pela vítima.

Segundo a CPR, o Snake Keylogger é especialmente perigoso por sua capacidade de roubar praticamente qualquer dado privado e por adotar táticas que dificultam sua detecção e remoção dos dispositivos infectados. A ameaça ganhou popularidade nos fóruns da dark web, nos quais é vendido por valores que variam entre US$ 25 e US$ 500 (R$ 131 a R$ 2,6 mil), dependendo do nível do serviço oferecido.

Os dados roubados pelo malware podem inclusive ajudar na realização de ataques de ransomware, servindo como portas de entrada para sistemas protegidos e credenciais de usuários com alto nível de privilégios. Outras ameaças que chamam a atenção são o Crackonosh, que realiza a mineração de criptomoedas e é injetado no Windows em versões pirateadas de games, e o XMRig, que faz a mineração da moeda Monero e envia os ganhos para as carteiras dos criminosos.

Principais vulnerabilidades

Segundo o estudo da CPR, a vulnerabilidade mais explorada em julho foi a Web Server Exposed Git Repository Information Disclosure, que afetou 45% das organizações globalmente. Ela se infiltra em repositórios Git e permite a divulgação não intencional de informações da conta afetada.

Na segunda posição surge o HTTP Headers Remote Code Execution, que permite executar um código arbitrário na máquina do alvo por meio de um cabeçalho HTTP vulnerável. O terceiro lugar é ocupado pelo MVPower DVR Remote Code Execution, brecha que viabiliza a execução de códigos arbitrários em roteadores com uma solicitação maliciosa.

A empresa também divulgou as ameaças mais comuns nos dispositivos móveis:

• xHelper – App malicioso para Android que baixa outras ameaças e exibe anúncios conhecido por se esconder do usuário e se reinstalar em dispositivos infectados;
• AlienBot – Família de malwares que permite a injeção remota de códigos maliciosos em apps financeiros legítimos. Com isso, o atacante ganha acesso às contas da vítima e, eventualmente, a seu dispositivo completo;
• Hiddad – Malware cuja principal função é exibir anúncios, mas que também é capaz de obter acesso aos principais detalhes de segurança incorporados ao Android.

Diante das descobertas, a CPR recomenda que usuários mantenham sistemas e aplicativos atualizados, bem como soluções de segurança confiáveis em seus dispositivos. A empresa também aconselha o uso de uma política de senhas fortes, em que cada serviço utilizado tenha sua própria combinação que não se repete nos demais.

Também é recomendada uma atenção especial a mensagens de e-mail, visto que muitas das ameaças mais comuns (como o Snake Keylogger) se espalham por golpes de phishing. Para a CPR, é essencial ficar atento a pequenas discrepâncias, como erros de ortografia e links e endereços, bem como realizar treinamentos para que pessoas nunca cliquem em links suspeitos ou abram anexos desconhecidos.