O roubo de dados bancários persiste no Brasil, de acordo com a pesquisa da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. No mês de julho, os pesquisadores verificaram que o malware Remcos passou para o terceiro lugar depois que os agentes de ameaças criaram sites falsos para disseminar downloaders maliciosos que carregavam este Remote Access Trojan (RAT). Enquanto isso, o cavalo de Troia bancário móvel Anubis derrubou o recém-chegado SpinOk do primeiro lugar na lista de malware móvel, e Educação/Pesquisa seguiu como o setor mais atacado no mundo.
O Remcos é um cavalo de Troia de acesso remoto (RAT) visto pela primeira vez em 2016 e distribuído regularmente por meio de documentos ou de downloads maliciosos da Microsoft. Foi observado mais recentemente em uma campanha envolvendo o malware Fruity. O objetivo era atrair as vítimas para baixar o Fruity, pois ele acaba instalando diferentes RATs como o Remcos; e é conhecido por sua capacidade de obter acesso remoto ao sistema da vítima, roubar informações e credenciais confidenciais e realizar atividades maliciosas no computador do usuário.
“Esta época do ano é perfeita para os cibercriminosos. As organizações precisam lidar com níveis reduzidos ou alterados de pessoal, o que pode afetar sua capacidade de monitorar ameaças e minimizar riscos. A introdução de processos de segurança automatizados e consolidados pode ajudar as empresas a manterem boas práticas durante os períodos de férias, além de uma boa educação e conscientização do usuário”, diz Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
Roubo de dados bancários recorrente e persistente
No entanto, a liderança das listas mensais de top malware global e do Brasil continua pertencendo ao cavalo de Troia multifuncional Qbot, desde o final do ano passado. O malware Qbot, que rouba dados bancários e digitação de teclado, é líder na lista nacional há oito meses seguidos e mantém o alto impacto nas organizações no Brasil com índices de 12,73% em julho, 14,74% em junho, de 13,94% em maio, 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro e de 16,58% em dezembro de 2022. São todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos números globais.
O Qbot surgiu inicialmente em 2008 como um trojan bancário, passou por um desenvolvimento consistente, adquirindo funcionalidades adicionais com o objetivo de roubar senhas, e-mails e detalhes de cartão de crédito. É normalmente difundido por e-mails de spam e emprega várias técnicas, como métodos Anti-Virtual Machines (anti-VM), anti-debug e anti-sandbox para impedir a análise e evitar a detecção. Atualmente, sua função principal é atuar como um carregador para outros malwares e estabelecer uma presença nas organizações visadas, servindo como um trampolim para os operadores de grupos de ransomware.
A equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada em julho, impactando 49% das organizações em todo o mundo, seguida pela “Apache Log4j Remote Code Execution” com 45% e pela “HTTP Headers Remote Code Execution”, com impacto global de 42% nas organizações.