Brasil, São Paulo, Tcheca, 3 de fevereiro de 2021 — A Avast (LSE:AVST), líder global em segurança digital e privacidade, divulga seu Relatório de Ameaças do Quarto Trimestre de 2021, revelando uma exploração imediata da vulnerabilidade Log4j por mineradores de moedas, RATs, botnets, ransomware e APTs em dezembro, colocando os departamentos de CISO sob pressão. Além disso, os pesquisadores de ameaças da Avast observaram a botnet Emotet ressurgir e um aumento de 40% na mineração de moedas, representando riscos para os consumidores e as empresas. As descobertas do quarto trimestre de 2021 também mostram um crescimento de adware, golpes de suporte técnico em desktops, golpes de assinatura e spyware em dispositivos Android, mirando os consumidores. Ao mesmo tempo, a Avast observou uma redução da atividade de ransomware e trojan de acesso remoto (RAT).
“No final do ano, a vulnerabilidade Log4j extremamente perigosa, onipresente e fácil de abusar fez com que os departamentos de CISO trabalhassem mais, e com razão, pois os invasores disseminaram tudo: desde mineração de moedas até bots e ransomware”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast.
“Por outro lado, estamos felizes em relatar reduções dos ataques de RAT, roubo de informações e ransomware. A queda na atividade de RAT ocorreu graças aos feriados, com maus agentes chegando a copiar o trojan de acesso remoto DcRat e a renomeá-lo como 'SantaRat'. Vimos uma ligeira redução da atividade de roubo de informações, provavelmente devido a uma diminuição significativa de infecções através do Fareit - um ladrão de senhas e informações - , com queda de 61% em comparação com o trimestre anterior”, observa Jakub Kroustek. “O estrago que o ransomware causou nos primeiros três trimestres de 2021 desencadeou uma cooperação coordenada de nações, agências governamentais e fornecedores de segurança para caçar os autores e os operadores de ransomware. Acreditamos que tudo isso resultou em uma redução significativa dos ataques de ransomware, no quarto trimestre de 2021. A taxa de risco de ransomware teve uma redução impressionante de 28%, quando comparado com o terceiro trimestre de 2021. Prevemos que essa tendência deve continuar no primeiro trimestre de 2022, mas também estamos preparados para o oposto”.
Ameaças mirando os brasileiros
O relatório descreve os trojans bancários, que miraram especificamente os brasileiros no quarto trimestre de 2021, como o Chaes e o Ousaban. No último trimestre de 2021, a Avast observou um aumento das atividades do Chaes. A Avast detectou e bloqueou o trojan bancário de infectar mais de 66.000 clientes da Avast no Brasil, no quarto trimestre de 2021. O Chaes foi projetado para roubar credenciais de login armazenadas no navegador Chrome, número das contas bancárias, saldo das contas e muito mais dados relacionados a serviços bancários populares de sites do Brasil, como Mercado Bitcoin, Mercado Pago, Mercado Livre, Loja Integrada e Internet Banking da Caixa. A Avast também protegeu mais de 6.000 usuários brasileiros contra o Ousaban, que existe desde 2018 e foi projetado para roubar credenciais e informações de login de bancos online.
Cibercriminosos atacando empresas através da vulnerabilidade Log4j e de RATs, que abusam do Azure e da AWS
A vulnerabilidade no Log4j, uma biblioteca do log Java, provou ser extremamente perigosa para as empresas devido à onipresença da biblioteca e à facilidade de exploração. Os pesquisadores da Avast observaram mineradores de moedas (coinminers), RATs, bots, ransomware e grupos APT abusando da vulnerabilidade. Várias botnets abusaram da vulnerabilidade, incluindo a infame botnet Mirai. A maioria dos ataques de bots eram apenas sondas testando a vulnerabilidade, mas a Avast também notou várias tentativas de carregamento de código potencialmente malicioso. Por exemplo, alguns RATs foram espalhados a partir do uso da vulnerabilidade, sendo os mais prevalentes NanoCore, AsyncRat e Orcus. Um ransomware de baixa qualidade, chamado Khonsari, foi o primeiro ransomware que os pesquisadores viram explorando a vulnerabilidade.
Além de explorar a vulnerabilidade Log4j para disseminar RATs, os cibercriminosos exploraram a vulnerabilidade CVE-2021-40449, a qual foi usada para elevar permissões de processos maliciosos explorando o driver do kernel do Windows. Os invasores usaram essa vulnerabilidade para baixar e iniciar o RAT MistarySnail. Além disso, uma causa muito importante para as altas detecções de NanoCore e AsyncRat foi gerada por uma campanha maliciosa, que abusava dos provedores de nuvem, Microsoft Azure e Amazon Web Service (AWS). Nesta campanha, os invasores de malware usaram o Azure e a AWS como servidores de download para suas cargas maliciosas com intuito de atacar as empresas.
Adicionalmente, os pesquisadores da Avast viram os maus agentes por trás do Emotet reescrever várias de suas partes, reativando as suas máquinas e retomando o mercado de botnets e fazendo ressurgir o Emotet.
Golpes de adware, mineradores de moedas e suporte técnico direcionados aos consumidores
As atividades de adware e rootkit para desktop aumentaram no quarto trimestre de 2021. Os pesquisadores da Avast acreditam que essas tendências estão relacionadas ao rootkit Cerbu, que pode sequestrar as páginas iniciais do navegador e redirecionar URLs do site de acordo com a configuração do rootkit. O Cerbu pode, portanto, ser facilmente implantado e configurado para adware, importunando as vítimas com anúncios indesejados e sendo capaz de adicionar um backdoor em suas máquinas.
Enquanto houve um aumento no preço do Bitcoin no final de 2021, o número de mineradores de moedas que se espalharam cresceu 40%, geralmente por meio de páginas web infectadas e software pirata. O CoinHelper foi um dos mineradores de moedas predominantes e muito ativo durante o quarto trimestre de 2021, visando principalmente os usuários na Rússia e na Ucrânia. Os mineradores de moedas abusam furtivamente do poder de computação de um usuário para minerar criptomoedas, o que pode gerar altas contas de energia e impactar a vida útil do hardware do usuário. Além disso, o CoinHelper coleta várias informações sobre as suas vítimas, incluindo a sua geolocalização, solução antivírus que eles instalaram e hardware que estão usando. Apesar de observar várias criptomoedas configuradas para serem mineradas, incluindo Ethereum e Bitcoin, a Monero se destacou particularmente para os pesquisadores da Avast. A Monero foi projetada para ser anônima, no entanto, o uso incorreto de endereços e a mecânica de como minerar pools de trabalho, permitiram que os pesquisadores obtivessem informações mais detalhadas sobre a operação de mineração da Monero por parte dos autores do malware. Eles descobriram que o ganho monetário total do minerador de moedas CoinHelper foi de 339.694,86 dólares em 29 de novembro de 2021. No mês de dezembro, este minerador extraiu um adicional de ~15.162 XMR, ~3.446,03 dólares. O CoinHelper ainda está se espalhando de forma ativa, com a capacidade de minerar ~0,474 XMR diariamente.
Os pesquisadores de ameaças da Avast também observaram um pico nos golpes de suporte técnico, induzindo o usuário a acreditar que eles têm um problema técnico e enganando-os para ligar para uma linha de atendimento, onde serão enganados para fazer o pagamento de altas taxas de suporte ou conceder acesso remoto ao seu sistema.
Golpes de assinatura SMS premium e spyware que roubam credenciais do Facebook, sendo espalhados nos dispositivos móveis
O Laboratório de Ameaças da Avast destacou duas ameaças para dispositivos móveis no relatório: Ultima SMS e Facestealer. O Ultima SMS é um golpe de assinatura de SMS premium, que ressurgiu nos últimos meses. Em outubro, os aplicativos Ultima SMS estavam disponíveis na Play Store, imitando aplicativos e jogos legítimos, muitas vezes apresentando anúncios atrativos. Depois de baixados, eles solicitavam aos usuários que digitassem o seu número de telefone para acessar o aplicativo. Posteriormente, os usuários foram inscritos em um serviço premium SMS, com o custo de até US$ 10 por semana. Os cibercriminosos por trás do UltimaSMS usaram amplamente as mídias sociais para anunciar os seus apps e, como resultado, acumularam mais de 10 milhões de downloads.
O Facestealer, um spyware projetado para roubar credenciais do Facebook, ressurgiu em diversas ocasiões no quarto trimestre de 2021. O malware é disfarçado como editores de fotos, horóscopos, aplicativos de fitness, entre outros. Depois de usar o aplicativo por um período de tempo, o app solicita que o usuário faça o login no Facebook para que possa continuar sendo utilizado, sem anúncios.
Para informações mais detalhadas, acesse o relatório completo: https://decoded.avast.io/threatresearch/avast-q4-21-threat-report/