Malware procurado de Julho de 2019: vulnerabilidade no OpenDreamBox 2.0.0

A Check Point Research, a área de Threat Intelligence da Check Point Software, publicou mais um Índice de Impacto Global de Ameaças referente aos top malware do mês de julho de 2019. A equipa de investigação está a alertar as organizações para uma nova vulnerabilidade descoberta no OpenDreamBox 2.0.0 WebAdmin Plugin e que afetou, no mês passado, 32% das empresas globais.

A vulnerabilidade, classificada como a 8ª vulnerabilidade mais explorada, permite que os atacantes executem ordens remotamente nas máquinas alvo. Esta exploração foi desencadeada juntamente com outros ataques que tinham como alvo dispositivos IoT, mais especificamente com a execução remota de código MVPower DVR (a terceira vulnerabilidade mais explorada de julho) a qual é conhecida por estar relacionada com o conhecido botnet Mirai.

Julho viu, também, uma diminuição significativa no uso do Cryptoloot, o qual desceu do terceiro lugar em junho para o décimo lugar na lista de top malware do último mês.

“Os agentes de ameaças são rápidos a tentar explorar novas vulnerabilidades quando estas surgem. Mesmo antes que as organizações tenham a oportunidade de corrigir, e a falha do OpenDreamBox não é exceção. Mesmo assim, é surpreendente que quase um terço das empresas tenham sido afetadas. Isso demostra o quão importante é que as empresas se protejam ao corrigir rapidamente estas vulnerabilidades”, comentar Maya Horowitz, Director, Threat Intelligence & Research, Products da Check Point.

O Top 3 malware “Mais Procurados” de Julho em Portugal:

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior.

1. ↔ XMRig – O software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017, registou um impacto de 7,85% a nível nacional.
2. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de passwords que tem infetado computadores desde 2014. O AgentTesla é capaz de monitorizar e recolher o que vítima escreve no teclado, a área de transferência do sistema, tirar screenshots e extrair credenciais pertencentes aos diversos softwares instalados no computador da vítima (incluindo o e-mail para aceder ao Google Chrome, Mozilla Firefox e Microsoft Outlook). O AgentTesla foi vendido abertamente como um RAT legítimo, com clientes a pagar 15$ -69$ dólares por licenças de utilizador. Em junho este malware registou um impacto de 6,82% a nível nacional.
3. ↑ Cryptoloot – É um malware de criptomineração que utiliza a energia e recursos existentes do CPU ou GPU para fazer mineração de criptomoedas adicionando transações para criar mais moedas. É um concorrente do Coinhive, tentando tirar-lhe quota de mercado ao pedir uma percentagem de resgate menor de receitas aos websites. Este teve um impacto nacional de 6,18%.

“O rápido declínio no uso do Cryptoloot também é interessante. Este dominou a lista de malware no último ano e meio e foi classificado como a segunda variante de malware mais comum no primeiro semestre de 2019, afetando 7,2% das organizações globalmente. Acreditamos que este declínio está ligado ao seu principal concorrente, o Coinhive, que fechou as operações no início de 2019. Os agentes de ameaças estão a depender nos malwares alternativos de criptomining, como o XMRig e o Jsecoin.”

Top Mobile Malware do Mundo durante o mês de julho de 2019

Em julho, o Lotoor foi o mobile malware mais predominante, seguido pelo AndroidBauts and Piom, duas famílias de malware novas no topo da lista.

1. ↔ Lotoor – Ferramenta de hacking que explora as vulnerabilidades dos sistemas operativos Android com o objetivo de ganhar privilégios de raíz em dispositivos móveis infetados.
2. ↑ AndroidBauts – Adware que tem como alvos utilizadores do Android que extrai os dados de IMEI, IMSI, localização por GPS e outras informações sobre dispositivos e permite a instalação de aplicações e atalhos de terceiros em dispositivos móveis.
3. ↑ Piom – Adware, que monitoriza o comportamento de navegação do utilizador e exibe anúncios indesejados com base nas atividades na internet do utilizador.

Top 3 das vulnerabilidades ‘Mais Exploradas’ em Julho:

A técnica SQL Injection continua a liderar a lista de vulnerabilidades mais exploradas, afetando 46% das empresas globalmente. Em segundo lugar ficou o OpenSSL TLS DTLS Heartbeat Information Disclosure o qual teve um impacto global de 41%, seguido do MVPower DVR Remote Code Execution que afetou 40% das empresas globalmente.

1. ↔ SQL Injection (several techniques) – Esta vulnerabilidade faz injeção de queries de SQL nos inputs vindos do cliente para a aplicação, enquanto explora a vulnerabilidade no software da aplicação.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade que divulga informações que se encontram no OpenSSL devido a um erro enquanto opera com os TLS/DTLS heartbeat packets. Um atacante pode utilizar esta vulnerabilidade para divulgar conteúdos que se encontram em memória num cliente conectado ou servidor.
3. ↑ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de uma solicitação criada.

Pode ver a lista completa das 10 principais famílias de julho no Blog da Check Point Security: https://blog.checkpoint.com/2019/08/08/july-2019s-most-wanted-malware-vulnerability-in-opendreambox-2-0-0-webadmin-plugin-enables-attackers-to-execute-commands-remotely/