Agent Tesla Usado para Propagação de Campanhas de Spam Relacionadas com Coronavírus

A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o mais recente Índice Global de Ameaças de Abril 2020. Os investigadores descobriram diversas campanhas de spam relacionadas com coronavírus (COVID-19) serem propagadas com a nova variante do troiano de acesso remoto Agent Tesla, o qual subiu ao 3º lugar do índice, impactando 3% das organizações em todo o mundo.

A nova variante do Agente Tesla foi modificada para roubar passwords de Wi-Fi bem como informação adicional, como as credenciais de email Outlook, dos PCs das vítimas. Durante o mês de Abril, o Agent Tesla foi distribuído como anexo em diversas campanhas de spam relacionadas com o COVID-19, que tentavam iludir a vítima a descarregar ficheiros maliciosos sob o pretexto de ter informação interessante sobre a pandemia. Uma dessas campanhas dizia ser enviada pela OMS – Organização Mundial de Saúde com o assunto: ‘URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST/RESULT UPDATE.’ (‘INFORMAÇÃO URGENTE: ATUALIZAÇÃO SOBRE PRIMEIRO TESTE DE VACINA COVID-19 EM HUMANOS’). Isto demonstra como os hackers estão a explorar notícias e eventos de impacto global e preocupações da sociedade para aumentar as taxas de sucesso dos seus ataques.

O reconhecido troiano bancário Dridex, que entrou pela primeira vez no Top10 do Índice de Ameaças em Março, conseguiu ter um ainda maior impacto em Abril. Ascendeu ao primeiro lugar do índice, subindo duas posições, ipactando 4% das organizações a nível global. O XMRig, que era o malware prevalente em Março, desceu para a segunda posição.

“As campanhas de spam de email do Agent Tesla que vimos em Abril demonstram o quão ágeis os cibercriminosos conseguem ser o que toca a explorar novos eventos e a enganar vítimas insuspeitas para clicar num link infetado,” afirmaMaya Horowitz, Director, Threat Intelligence & Research, Products at Check Point. “Com o Agent Tesla e o Dridex no top 3 do ínidice de ameaças, os criminosos estão focados em roubar dados profissionais, pessoais e credenciais para que possam monetizar. É essencial que as organizações adotem uma abordagem proactiva e dinâmica na educação dos utilizadores, mantendo as suas equipas informadas sobre as mais recentes ferramentas e técnicas, particularmente agora com mais colaboradores a trabalharem a partir de casa.”

A equipa de investigação também alerta para o “MVPower DVR Remote Code Execution”, a qual se manteve como a vulnerabilidade mais explorada, com um impacto de 46% nas organizações a nível global, seguida de perto pela “OpenSSL TLS DTLS Heartbeat Information Disclosure” com um impacto global de 41%, e depois pelo “Command Injection Over HTTP Payload” com impacto em 40% das organizações em todo o mundo.

Top de famílias malware de Abril em Portugal

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, Trickbot ascendeu ao primeiro lugar, com um impacto global de 2,36% e nacional de 9,02%; seguido pelo Dridex, que globalmente afetou 3,96% das organizações e, a nível nacional, 5,51%. Na terceira posição encontra-se o Agent Tesla, cujo impacto global foi de 2,76% e nacional de 3,63%. 

1.       ↑ Trickbot – Trickbot é uma variante do Dyre que emergiu em Outubro de 2016. Desde então, tem atacado utilizadores bancários, principalmente na Austrália e Reino Uindo, e mais recentemente tem estado focado na Índia, Singapura e Malásia. 

1. ↑ Dridex – Dridex é um Troiano Bancário que atacas as plataformas Windows, e distribui campanhas de spam e kits de exploração, que usam WebInjects para interecetar e redirigir credenciais bancárias para o servidor controlado pelo atacante. O Dridex contacta um servidor remote, envia informação sobre o Sistema infetado e pode fazer download e executar módulos para control remoto.
2. ↑ Agent Tesla – Agent Tesla é um Troiano de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imaens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima ( incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook). O Agent Tesla esteve a ser vendido publicamente como um Troiano de Acesso Remoto por valores entre $15 e $69 por cada licença de utilizador.

Top de famílias de malware

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês o Dridex ascendeu ao 1º lugar, impactando 4% das organizações a nível global, seguido pelo XMRig e Agent Tesla impactando 4% e 3% das organizações a nível mundial respetivamente.

1. ↑ Dridex – Dridex é um Troiano Bancário que atacas as plataformas Windows, e distribui campanhas de spam e kits de exploração, que usam WebInjects para interecetar e redirigir credenciais bancárias para o servidor controlado pelo atacante. O Dridex contacta um servidor remote, envia informação sobre o Sistema infetado e pode fazer download e executar módulos para control remoto.
2. ↓ XMRig – Software de mining CPU em open-source, usado para o processo de mineração da criptomoeda Monero, detetado pela primeira vez em Maio de 2017.
3. ↑ Agent Tesla – Agent Tesla é um Troiano de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imaens de ecran, e extrair credenciais de diversos softwares instalados no dispositivo da vítima ( incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook).

As vulnerabilidades mais exploradas de Abril:

Este mês, o “MVPower DVR Remote Code Execution” mantém-se como a vulnerabilidade mais explorada, impactando 46% das organizações a nível global, seguida de perto pelo “OpenSSL TLS DTLS Heartbeat Information Disclosure” que impactou 41% das organizações mundiais. Na terceira posição encontra-se a vulnerabilidade “Command Injection Over HTTP Payload”, impactando 40% das organizações em todo o mundo, sendo encontrado mais em ataques de exploração de vulnerabilidades dia zero em routers “Dray Tek” e dispositivos de switch (CVE-2020-8515).

1.         ↔ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para  executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso.

2.         ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe  no OpenSSL uma vulnerabilidade na divulgação de informação. Esta deve-se a um erro relativo aos  TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectados.

3.         ↑ Command Injection Over HTTP Payload – Um atacante remoto pode explorar este problema através do envio de um pedido específico para a vítima. Uma exploração bem sucedida pode permitir ao atacante executar arbitrariamente código no equipamento da vítima. 

As vulnerabilidades Mobile mais exploradas de Abril:

Este mês, xHelper manteve a primeira posição enquanto malware mais comum, seguido de Lotoor e AndroidBauts.

1. ↔ xHelper – É uma aplicação Android maliciosa que foi descoberta em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. ↑ Lotoor – Uma ferramenta de hacking que explora vulnerabilidades nos sistemas operativos Android para obter privilégios de acesso à raíz dos dispositivos móveis comprometidos.

1. ↓ AndroidBauts – Adware que ataca utilizadores Android para obter o IMEI, IMSI, a localização GPS e outra informação do dispositivo, e permite a instalação de aplicações de terceiros e atalhos em dispositivos móveis.