Infecções por malwares de mineração de criptomoedas diminuem pela primeira vez em dois anos

A Check Point Research publicou recentemente o Índice Global de Ameaças que relatou pela primeira vez, em quase dois anos, que um malware de mineração de criptomoedas não está mais no topo da lista de “os mais procurados”.

O uso de malwares de mineração de criptoativos tem diminuído constantemente desde o pico no início de 2018. Em janeiro e fevereiro de 2018, mais de 50% das organizações no mundo foram impactadas por esses malwares, caindo para 30% das organizações em janeiro de 2019. Em outubro deste ano, impactaram apenas 11% de organizações mundialmente.

O malware mais procurado de outubro foi o botnet Emotet, acima do 5º lugar em setembro e impactando 14% das organizações em todo o mundo. No final do mês, o Emotet estava divulgando uma campanha de spam com o tema de Halloween. Os e-mails tinham assuntos como “Feliz Dia das Bruxas” e “Convite para a festa do Dia das Bruxas”, que incluíam um anexo malicioso com um nome de arquivo com temas dessa data.

“O impacto dos malwares de mineração diminuiu quase dois terços durante 2019, como mostra o fato de que, pela primeira vez em quase dois anos, um malware de mineração de criptomoedas não está liderando nossa lista de malware de ‘os mais procurados’. No entanto, o malware mais predominante no mês passado, o Emotet, é uma ameaça grave. É um botnet altamente avançado usado para distribuir outros tipos de malwares – especialmente o infame ransomware Ryuk”, avisa Maya Horowitz, diretora de Threat Intelligence & Research, Products da Check Point.

Os três principais malwares

Pela primeira vez em quase dois anos, um dos malwares de mineração de criptomoedas não é o malware mais popular. O Emotet lidera a lista dos principais malwares, com um impacto global de 14%. Em segundo lugar, o XMRig impactou 7% das organizações em todo o mundo, seguido de perto pelo Trickbot, impactando 6% das organizações.

1. Emotet – O Emotet é um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
2. XMRig – O XMRig é um software de mineração de CPU de código aberto usado no processo de mineração da criptomoeda Monero, e visto pela primeira vez em maio de 2017.
3. Trickbot – Trickbot é um Trojan bancário dominante, sendo constantemente atualizado com novos recursos, capacidades e vetores de distribuição. Isso permite que o Trickbot seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas com vários propósitos.

Os principais malwares para celular

1. Guerrilla – Um Trojan Android encontrado incorporado em vários aplicativos legítimos e é capaz de baixar cargas maliciosas adicionais. O Guerrilla gera receita de publicidade fraudulenta para os desenvolvedores de aplicativos.
2. Lotoor – ferramenta de hacker que explora vulnerabilidades no sistema operacional Android para obter privilégios de root em dispositivos móveis comprometidos.
3. AndroidBauts – Adware destinado a usuários do Android que expõe clandestinamente IMEI, IMSI, localização GPS e outras informações do dispositivo e permite a instalação de aplicativos e atalhos de terceiros em dispositivos móveis.

Vulnerabilidades “mais exploradas”:

As técnicas de injeção de SQL foram a vulnerabilidade explorada mais comum, afetando 36% das organizações em todo o mundo. Em segundo lugar, a vulnerabilidade de divulgação de informações de pulsação do OpenSSL TLS DTLS, seguida de perto pela execução remota de código do MVPower DVR – impactando 33% e 32% das organizações em todo o mundo, respectivamente.

1. Injeção de SQL (várias técnicas) – Inserção de uma injeção de consulta SQL na entrada do cliente para o aplicativo, enquanto explora uma vulnerabilidade de segurança no software de um aplicativo.
2. Divulgação de informações de pulsação do OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes de pulsação TLS / DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
3. Execução remota de código do MVPower DVR – Existe uma vulnerabilidade de execução remota de código nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

Top 10 malwares mais utilizados no Brasil:

Leia também: Malwares de mineração de Monero continuam sendo os mais usados no Brasil