A Avast, líder global em segurança digital e privacidade, divulgou o seu Relatório de Ameaças do terceiro trimestre de 2022 com um resumo do cenário de ameaças cibernéticas, derivado dos dados de telemetria da Avast e de insights de especialistas. Os dados da Avast mostram um aumento na atividade de adware para PC, no final de setembro deste ano. A Avast também protegeu 370% mais usuários contra o Raccoon Stealer (um ladrão de informações), no terceiro trimestre de 2022 do que no trimestre anterior. Os ataques de ransomware aumentaram em alguns mercados, como Canadá, Espanha e Alemanha, mas diminuíram ligeiramente ao nível global.
As chances de os usuários de dispositivos móveis encontrarem um trojan bancário aumentaram 7% em relação ao trimestre anterior, apesar da Europol desmantelar o grupo Flubot. No Brasil, a Avast protegeu quase 20.000 visitantes de sites de e-commerce infectados, que vendiam coisas como vinho, ingressos para eventos e notebooks de um chupa-cabras (web skimmer) que enviava detalhes de pagamento para um domínio malicioso. A maioria das atividades maliciosas permaneceu estável ou diminuiu.
“Uma tendência interessante que observamos neste trimestre foi o crowdsourcing ativo e o apoio financeiro às atividades criminosas, incluindo melhorias no marketing e distribuição dos malwares”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast. Em termos de ataques, notamos um aumento no adware DealPly no final do terceiro trimestre de 2022, um aumento maciço nas tentativas de infecção do Raccoon Stealer, crescimento da atividade da botnet MyKings e uma nova rede zumbi (botnet) chamada Pitraix, escrita em Go, ganhando um pouco de tração. No geral, o volume de ataques cibernéticos permaneceu alto, apesar de os cibercriminosos parecerem relaxar um pouco nestes meses.
Ataques de ransomware com foco na exfiltração de dados
O risco para os canadenses encontrarem ransomware neste trimestre aumentou 16% em comparação com o segundo trimestre de 2022. Na Alemanha e na Espanha, as pessoas tinham 12% mais chances de encontrar ransomwares. No entanto, globalmente, as pessoas enfrentaram um risco ligeiramente menor de ataques por ransomwares, trimestre a trimestre.
“As famílias de ransomwares usam métodos cada vez mais complicados de criptografia parcial, por exemplo, criptografando apenas o início ou o final de um arquivo, ou blocos de arquivos, para poder criptografá-los rapidamente e, assim, evitar a detecção por parte do usuário”, explicou Kroustek. “Além disso, agora, as gangues de ransomware estão exfiltrando dados de empresas, ameaçando publicar os arquivos confidenciais e, em seguida, excluindo ou corrompendo os arquivos em vez de criptografá-los.
Também observamos uma série interessante de eventos envolvendo o grupo de ransomware LockBit. Os eventos incluem o grupo oferecendo recompensas por bugs, para aqueles que descobrirem vulnerabilidades ou entregarem ideias ao grupo, além de recompensas para as pessoas que tatuarem o seu logotipo nos seus corpos, membros do grupo retaliando e vazando código, e um vai e vem entre a gangue e uma empresa de segurança chamada Entrust”.
Empresas e governos visados por grupos de hackers e APT
O grupo pró-russo, NoName057(16), visava empresas como bancos e agências de notícias, e governos apoiadores da Ucrânia durante o terceiro trimestre de 2022. O grupo usa uma rede zumbi (botnet) de computadores infectados com o malware Bobik para realizar ataques DDoS de retaliação. Segundo as observações da Avast, o grupo tem uma taxa de sucesso de 40%, e cerca de 20% dos ataques pelos quais eles reivindicam responsabilidade não podiam ser contabilizados nos seus arquivos de configuração. Em agosto, o grupo anunciou um novo projeto chamado DDOSIA e criou um grupo privado no Telegram, com mais de 700 membros. O projeto DDOSIA permite que qualquer pessoa na internet baixe um binário, através do qual possa realizar ataques DDoS em sites determinados pelo NoName057(16). Em troca, eles são recompensados com criptomoedas.
O grupo Gamaredon APT também atacou a Ucrânia no terceiro trimestre de 2022, com ataques contra instituições militares, governamentais e embaixadas estrangeiras. O grupo introduziu novos recursos no seu conjunto de ferramentas, incluindo os de exfiltração de arquivos, vários droppers, novas maneiras de distribuir cargas úteis e IPs de servidores C&C.
LuckyMouse, um conhecido grupo de ameaças de língua chinesa, teve como alvo várias agências governamentais nos Emirados Árabes Unidos, Taiwan e Filipinas. A Avast encontrou backdoors em computadores infectados, ladrões de senhas para Chrome e ferramentas de código aberto, como o BadPotato, usado para escalonamento de privilégios de acesso. Os invasores provavelmente infectaram dispositivos por meio de um servidor comprometido.
Outros grupos que os pesquisadores da Avast estão rastreando são o Donot Team, também conhecido como APT-C-35, e o Transparent Tribe, também conhecido como APT36. O Donot Team foi mais ativo no Paquistão no terceiro trimestre de 2022. A Avast descobriu módulos DLL da estrutura do yty em vários dispositivos infectados. O Transparent Tribe, que acredita-se ser um grupo paquistanês, continuou a atacar vítimas na Índia e no Afeganistão, infectando PCs através de golpes spear phishing e documentos do Office com macros VBA infectadas. Os pesquisadores da Avast identificaram que os executáveis pertencem à família CrimsonRAT, um malware personalizado do Transparent Tribe usado para acessar redes infectadas.
O crescimento do DealPly, Racoon Stealer e MyKings
O DealPly, um adware instalado por outro malware, atingiu um pico no final de setembro de 2022. O adware é uma extensão do Chrome capaz de modificar as páginas no navegador e substituir abas recém-abertas; além de ler o histórico, alterar os favoritos e gerenciar aplicativos, extensões e temas do navegador. Esses recursos permitem que os cibercriminosos, por trás da extensão, modifiquem os resultados das pesquisas e os substituam por anúncios, leiam senhas e detalhes dos cartões de crédito armazenados no navegador e leiam ainda o que os usuários inserem nos formulários (bem como os dados preenchidos nos formulários anteriores).
O Raccoon Stealer – um ladrão de informações capaz de roubar dados, baixar e executar malwares adicionais – teve um grande retorno no terceiro trimestre de 2022. A Avast protegeu 370% mais usuários do ladrão durante este trimestre.
“O Raccoon Stealer se espalha quando os usuários tentam baixar versões ‘crackeadas’ de softwares como o Adobe Photoshop, o Filmora Video Editor e o uTorrent Pro”, explicou Kroustek. “Geralmente, as pessoas ignoram ou desativam os escudos antivírus ao tentar baixar versões de software crackeadas, expondo-as ao risco de baixar um malware como o Raccoon Stealer. O malware, em geral, consegue baixar programas maliciosos adicionais, espalhando outros malwares como, por exemplo, o DealPly. Portanto, os usuários devem instalar um software antivírus e deixar as proteções sempre ativadas”.
Enquanto a atividade das redes zumbis (botnets) estabilizou no terceiro trimestre de 2022, a atividade da MyKings aumentou. Ativa desde 2016, a MyKings é uma rede zumbi focada em roubar criptomoedas.
Malware para dispositivos móveis
O adware continua sendo a ameaça dominante para dispositivos móveis, como o HiddenAds e o FakeAdBlockers prevalecendo entre os demais. A Avast protegeu o maior número de pessoas contra adwares no Brasil, Índia, Argentina e México.
Apesar da recente dissolução do grupo cibercriminoso Flubot pela Europol, o risco global de ser vítima de um trojan bancário aumentou 7% no terceiro trimestre de 2022, em comparação com o segundo trimestre de 2022. Os trojans bancários são espalhados principalmente por meio de golpes de phishing por SMS, mas também podem se espalhar por meio de malwares baixadores (dropper).
Os golpes de trojan por SMS ou SMS premium, continuam visando usuários de dispositivos móveis, como o SMSFactory e o Darkherring liderando essa categoria, enquanto o UltimaSMS e o Grifthorse se aposentaram. O SMSFactory e o Darkherring são distribuídos por meio de pop-ups, malvertising e lojas de aplicativos falsos. Por outro lado, o UltimaSMS e o Grifthorse foram distribuídos na Google Play Store, mas não mais desde que o Google os removeu da sua loja.
O Relatório de Ameaças do Avast referente ao terceiro trimestre de 2022 pode ser encontrado no blog Decoded: https://decoded.avast.io/threatresearch/avast-q3-2022-threat-report/.