Valak, o malware de estreia no Índice Global de Ameaças de setembro

A Check Point Research, área de Threat Intelligence da  Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o mais recente Índice Global de Ameaças de Setembro de 2020. Os investigadores revelam que uma versão atualizada do malware Valak integra o índice pela primeira vez, ocupando o 9º lugar dos malwares mais prevalentes de setembro.

Observado pela primeira vez nos finais de 2019, o Valak é uma ameaça sofisticada, classificada previamente como sendo um malware loader. Recentemente, foram descobertas novas variantes deste malware, com mudanças funcionais significativas que permitiam ao Valak operar como um agente de roubo de informação, capaz de vitimar tanto indivíduos como empresas. Além disso, esta nova versão do Valak pode ainda extrair informação de sistemas de e-mail como o Microsoft Exchange, bem como credenciais de utilizadores e certificados de domínio. No decorrer do mês de setembro, o Valak foi disseminado amplamente, através de campanhas malspam que continham ficheiros .doc maliciosos.

O troiano Emotet mantém-se no primeiro lugar do Índice pelo terceiro mês consecutivo, impactando 14% das organizações a nível global. O tróiano Qbot, que entrou na lista pela primeira vez em agosto, foi também largamente utilizado, subindo do 10º lugar do índice ao 6º.

“Estas novas campanhas de disseminação do Valak são outro exemplo de como os agentes maliciosos procuram maximizar os seus investimentos em malware comprovado e estabelecido. Em conjunto com as versões atualizadas do Qbot que surgiram em agosto, o Valak procura o roubo de dados e credenciais, seja de organizações, seja de indivíduos. As empresas devem investir em soluções anti-malware que evitem que este tipo de conteúdos chegue aos utilizadores finais, alertando os seus colaboradores para os perigos inerentes à leitura de um e-mail, mesmo quando este parece provir de uma fonte confiável,” afirmou Maya Horowitz, Director, Threat Intelligence & Research, Products na Check Point.

A equipa de investigação alerta ainda para o “MVPower DVR Remote Code Execution”, a vulnerabilidade mais comummente explorada, impactando 46% das organizações a nível global, seguida da “Dasan GPON Router Authentication Bypass”, responsável pelo impacto mundial de 42% das organizações. Com um impacto global de 36%, encontra-se a “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)”

Top de famílias malware de setembro em Portugal 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior  

Este mês, o Emotet manteve-se como o malware mais popular do Índice, com um impacto global de 14% nas organizações e nacional de 22%; de seguida, o Trickbot, com um impacto global e nacional de 4%; por fim, o Dridex, responsável por impactar 3% das organizações a nível global e 8% das nacionais.  No top nacional de famílias malware, em segundo lugar encontra-se não o Trickbot, mas o Agenttesla, um troiano de acesso remoto com um impacto de 11% nas organizações portuguesas.

1. ↔ Emotet – Troiano modular e de autopropagação. O Emotet costumava ser usado como um troiano bancário e evoluiu para distribuidor de outros malwares ou de campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser espalhado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. ↑ Trickbot – O Trickbot é um troiano bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3. ↑ Dridex – Troiano bancário que tem como alvo plataformas Windows, difundidas por campanhas spam e Exploit Kits, suportados em WebInjects, que intercetam e redirecionam credenciais bancários para servidores controlados por atacantes. O Dridex contact um servidor remoto, envia informação sobre o sistema infectado e pode também fazer download e executar módulos adicionais para controlo remoto. 

Top de vulnerabilidades exploradas 

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior  

Este mês o “MVPower DVR Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto global de 46% das organizações, seguido do “Dasan GPON Router Authentication Bypass”, responsável por impactar 42% das organizações em todo o mundo. Em terceiro lugar, o “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)”, com um impacto de 36%.

1. ↑MVPower DVR Remote Code Execution – Uma vulnerabilidade na execução remota de código nos dispositivos MVPower DVR. Um atacante pode explorar remotamente esta fraqueza para executar um código arbitrário no router afetado por meio de um pedido de solicitação de acesso. 
2. ↑Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação  bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado. 
3. ↑OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade na divulgação de informação presente no OpenSSL. Esta deve-se a um erro relativo aos TLS/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conteúdos da memória de um cliente ou servidor conectados.  

Top de famílias malware em dispositivos móveis

Este mês, o xHelper foi o mobile malware mais popular, seguido do Xafecopy e do Hiddad.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar. 
2. Xafekopy – O Xafekopy disfarça-se de apps muito úteis e valorizadas como a Battery Master. O troiano carrega, secretamente, no dispositivo, códigos maliciosos. Assim que a app é ativada, o Xafecopy ativa páginas web com faturações Wireless Application Protocol (WAP) – uma forma de pagamento móvel que cobra diretamente a partir da conta de telemóvel do utilizador.
3. Hiddad – o Hiddad é um malware Android que reutiliza apps legítimas, lançando-as em lojas de terceiros. A sua principal função é a exibição de anúncios, mas pode também conceder acesso a detalhes chave de segurança do Sistema Operativo.  

O Índice de Impacto Global de Ameaças da Check Point e o ThreatCloud Map baseiam a sua informação no ThreatCloud^TM da Check Point, a maior rede colaborativa de luta contra o cibercrime, que disponibiliza informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inclui mais de 2,5 mil milhões de websites e 500 milhões de ficheiros diariamente, identificando mais de 250 milhões de atividades de malware diariamente.  

A lista completa das 10 principais famílias de malware de setembro pode ser encontrada no Blog da Check Point.   

Os recursos de prevenção de ameaças da Check Point estão disponíveis em: http://www.checkpoint.com/threat-prevention-resources/index.html

Outros artigos interessantes:

• 
  Nothing Phone (3): O primeiro sinal de vida?
• 
  Adeus mensagens embaraçosas? Google Messages testa nova funcionalidade
• 
  Capas oficiais do Samsung Galaxy S25 Edge mostram-se antes do tempo