E o Emotet continua forte, na verdade, o Emotet reina entre as principais ameaças de malware de de 2019. Confira os detalhes do assunto.
O Any.Run, um serviço público que permite a interação com malware em execução em uma sandbox para fins de análise, compilou uma lista com as 10 principais ameaças mais comuns carregadas na plataforma. No topo da lista está Emotet.
Emotet reina entre as principais ameaças de malware de 2019
A parte superior inclui malware projetado para roubar todo tipo de informações confidenciais, detalhes bancários incluídos e ferramentas de acesso remoto (RAT) que permitem o controle sobre um host comprometido.
? Annual TOP10 threats by uploads to ANYRUN!
1⃣ #Emotet 36026 ?
2⃣ #AgentTesla 10324
3⃣ #NanoCore 6527
4⃣ #LokiBot 5693
5⃣ #Ursnif 4185
6⃣ #FormBook 3548
7⃣ #HawkEye 3388
8⃣ #AZORult 2898
9⃣ #TrickBot 2510
? #njRAT 2355https://t.co/Kx0pJYckBW— ANY.RUN (@anyrun_app) December 23, 2019
# 1 Emotet – 36.026 amostras
Em 2014, quando foi identificado pela primeira vez, o Emotet era um trojan bancário promissor, mas seus operadores escolheram um caminho diferente para permanecerem relevantes nos negócios de crimes cibernéticos.
A entrega de outros malwares através de emails mal-intencionados cuidadosamente criados é a principal função dessa ameaça atualmente. Um malware comum espalhado dessa maneira é o TrickBot, um cavalo de Troia bancário com um foco alterado.
# 2 Agent Tesla – 10.324 amostras
Um programa de roubo de informações disponível comercialmente, o Agent Tesla tornou-se popular entre os golpistas de comprometimento de e-mail comercial (BEC), que o usam para gravar pressionamentos de tecla e tirar capturas de tela no host infectado.
O malware também pode coletar informações sobre o sistema, roubar dados da área de transferência e inclui rotinas para eliminar as soluções processadas de análise e antivírus em execução.
# 3 NanoCore – 6.527 amostras
Essa é outra ferramenta preferida pelos golpistas do BEC. O NanoCore é um RAT que os agentes de ameaças usam desde 2013. Além de fornecer acesso remoto a um host vítima, seus recursos também incluem registro de chaves, espionagem, execução de arquivos, captura de vídeo e áudio, edição do registro e controle do mouse.
O NanoCore foi o RAT escolhido pelo SilverTerrier, um nome coletivo para vários grupos envolvidos em fraudes no BEC, que criaram uma média de 125 amostras únicas por mês em 2018.
O desenvolvedor do NanoCore foi preso em 2017, mas seu legado continuou por meio de versões quebradas que ainda estão em uso.
# 4 LokiBot – 5.693 amostras
O LokiBot surgiu em fóruns clandestinos como ladrão de informações e keylogger, mas o desenvolvimento adicional adicionou vários recursos que permitem evitar a detecção e coletar informações confidenciais.
Olhando para uma amostra do LokiBot este ano, os pesquisadores notaram os seguintes recursos: anti-análise, roubo de dados de pelo menos 25 navegadores da web, verificação de e-mail e servidores da Web em execução na máquina, procurando credenciais em clientes de e-mail e transferência de arquivos.
# 5 Ursnif – 4.185 amostras
Este Trojan bancário existe há algum tempo e foi enriquecido com novos recursos que o mantiveram no jogo.
O Ursnif normalmente está associado ao roubo de dados, mas algumas variantes vêm com componentes como backdoors, spyware ou injeção de arquivos. A implantação de outro malware, o GandCrab ransomware, é outra ação que os pesquisadores observaram com essa ameaça.
# 6 FormBook – 3,548
Outro ladrão de informações, o FormBook também executa rotinas para evitar a detecção de antivírus. É vendido em fóruns públicos de hackers desde pelo menos fevereiro de 2016.
Esse malware foi projetado para coletar dados digitados em formulários da web, independentemente de como isso é feito, mesmo quando era um teclado virtual ou a função de preenchimento automático de um gerenciador de senhas.
Suas funções incluem coletar credenciais de navegadores da web (cookies, senhas), capturar capturas de tela, além de roubar conteúdo da área de transferência, registro de chaves, baixar e executar executáveis do servidor de comando e controle e roubar senhas de clientes de email.
# 7 HawkEye – 3.388 amostras
Outro keylogger, o HawkEye está no jogo desde pelo menos 2013, vendido pelo desenvolvedor em fóruns de hackers e mercados da dark web.
Ele mantém sua capacidade de interceptação de teclas, mas também fornece novas funções que permitem roubar credenciais de vários aplicativos e da área de transferência.
As atualizações do HawkEye são lançadas regularmente e anunciadas como uma solução avançada de monitoramento para os sistemas em que são executados, fornecendo funções de exfiltração de dados.
# 8 AZORult – 2898 amostras
Amostras desse ladrão de informações foram observadas em estado selvagem desde 2016 e estão disponíveis em fóruns clandestinos por até US $ 100. A versão original é baseada em Delphi, mas um lançamento mais recente surgiu este ano, escrito em C ++.
A coleta e a extração de dados de um sistema comprometido é o principal objetivo. Isso cobre uma ampla lista, no entanto. Desde senhas salvas em navegadores da Web, clientes de email e FTP, até cookies, formulários da Web, carteiras de criptomoeda, histórico de bate-papo em aplicativos de mensagens e arquivos.
# 9 TrickBot – 2.510
Rotulado como Trojan bancário por sua funcionalidade original, o TrickBot de hoje combina muito mais recursos do que isso.
Ele pode enumerar os usuários no sistema, obter senhas em navegadores da Web, clientes de email e FTP e coletar arquivos locais da máquina vítima.
Normalmente, ele é entregue pelo Emotet e pode fornecer outros malwares no sistema, sendo o Ryuk ransomware um dos mais notáveis, o que é mais provável após todas as informações úteis terem sido roubadas.
# 10 njRAT – 2.355
Este é outro RAT usado pelo ator de ameaça SilverTerrier. Sua história é longa e começa em 2012 e seu uso é predominante na região do Oriente Médio.
Os recursos incluem o registro de pressionamentos de teclas, a ativação do microfone e a câmera da web no sistema comprometido. Algumas amostras também têm a capacidade de filtrar o título da janela atual usada pelo usuário.
A maioria dos malwares no top 10 do Any.Run não são novidade em cena. Pelo contrário, algumas das amostras têm quase uma década, mas continuam entre as principais opções para os cibercriminosos, provando que os cães idosos ainda podem aprender novos truques e as empresas devem continuar se defendendo contra ameaças conhecidas.