Malware mais procurado de maio de 2023: nova versão do Guloader oferece nuvem criptografada

Nosso último Índice Global de Ameaças de maio de 2023 viu os pesquisadores relatarem uma nova versão do downloader GuLoader baseado em shellcode, que foi o quarto malware mais prevalente. Com cargas úteis totalmente criptografadas e técnicas anti-análise, o formulário mais recente pode ser armazenado sem ser detectado em serviços de nuvem pública conhecidos, incluindo o Google Drive. Enquanto isso, Qbot e Anubis ocupam o primeiro lugar em suas respectivas listas, e Educação/Pesquisa continua sendo a indústria mais explorada.

O GuLoader é um dos downloaders mais proeminentes que os cibercriminosos usam para evitar a detecção de antivírus. Com mais de três anos de atividade e desenvolvimento contínuo, a versão mais recente emprega uma técnica que substitui o código em um processo legítimo, permitindo que ele evite a detecção por ferramentas de segurança de monitoramento de processos. Ao utilizar um VBScript para baixar shellcode criptografado da nuvem, as vítimas recebem um arquivo menos suspeito, reduzindo a probabilidade de disparar alertas. O uso de criptografia, formato binário bruto e separação do carregador torna as cargas invisíveis para os antivírus, permitindo que os agentes de ameaças ignorem a proteção antivírus e aproveitem o Google Drive para armazenamento. Em alguns casos, essas cargas maliciosas podem permanecer ativas por longos períodos de tempo.

No mês passado, Qbot e Anubis também ficaram em primeiro lugar em suas respectivas listas. Apesar dos esforços para desacelerar a distribuição de malware bloqueando macros em arquivos do Office, os operadores do Qbot foram rápidos em adaptar sua distribuição e entrega. Recentemente, foi visto abusando de uma falha de seqüestro de biblioteca de vínculo dinâmico (DLL) no programa WordPad do Windows 10 para infectar computadores.

Frequentemente, vemos cibercriminosos explorando ferramentas disponíveis ao público para armazenar e distribuir campanhas de malware. Não podemos mais confiar cegamente que os serviços que usamos serão completamente seguros, não importa o quão confiável seja a fonte. É por isso que precisamos ser educados sobre como são as atividades suspeitas. Não divulgue informações pessoais ou baixe anexos, a menos que tenha verificado que a solicitação é legítima e que não há intenção maliciosa.

A CPR também revelou que "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais explorada, impactando 49% das organizações globalmente, seguida por "Apache Log4j Remote Code Execution" impactando 45% das organizações em todo o mundo. "HTTP Headers Remote Code Execution" foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%.

Principais famílias de malware

*As setas referem-se à mudança de classificação em relação ao mês anterior.

QbotNamefoi o malware mais prevalente no mês passado, com um impacto de 6% nas organizações em todo o mundo, seguido porCadernocom um impacto global de 5% eAgente Teslacom um impacto global de 3%.

Indústrias mais atacadas globalmente

Mês passado,Educação/Pesquisapermaneceu em primeiro lugar como a indústria mais explorada globalmente, seguida porGoverno/MilitareAssistência médica.

Principais vulnerabilidades exploradas

Mês passado,"Traversal de diretório de URL malicioso de servidores da Web"foi a vulnerabilidade mais explorada, impactando49%de organizações globalmente, seguido por"Execução remota de código Apache Log4j"impactante45%de organizações em todo o mundo."Execução Remota de Código de Cabeçalhos HTTP"foi a terceira vulnerabilidade mais utilizada, com um impacto global de44%.

Principais malwares móveis

Mês passadoAnúbissubiu para o primeiro lugar como o malware móvel mais prevalente, seguido porAh Mythehidad.

O Índice Global de Impacto de Ameaças da Check Point e seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e celulares. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.