Em setembro, a atividade de malware aumentou 20%, uma mudança que foi impulsionada principalmente pelo aumento de 32% nos ataques dos 10 principais malwares. Especificamente, esse aumento é atribuído ao incremento da atividade de Emotet (60%) e WannaCry (252%).

Durante setembro de 2018, os setores dropped, malspam, multiple e network experimentaram um aumento de atividade. O malspam continua a dominar como o principal vetor de infecção, com quase 60% dos 10 malwares mais ativos sendo disseminados por este método.

A categoria malspam aumentou devido à atividade elevada de Emotet. Os 10 malwares mais ativos continuaram a não usar malvertisementcomo um mecanismo de entrega.

A categoria multiple aumentou um pouco, devido a um ligeiro aumento na atividade do ZeuS. O vetor dropped aumentou, devido à elevada atividade de Gh0st e Mirai, alcançando a lista dos 10 Principais Malwares. A atividade associada ao vetor network aumentou em 250% devido a uma violação de WannaCry em uma única entidade.

Fonte: Center for Internet Security

Fonte: Center for Internet Security

Os 10 Principais Malwares se referem às 10 principais notificações de eventos acionáveis de assinaturas de malware não genéricas, reportadas pelo Centro de Operações de Segurança (Security Operations Center) do Multi-State Information Sharing & Analysis Center (MS-ISAC) dos Estados Unidos.

Dropped – É um malware fornecido por outro malware já existente no sistema, um exploit kit, software de terceiros infectado ou manualmente por um cibercriminoso.

Malvertisement – Malware introduzido através de um anúncio malicioso em sites, aplicativos ou e-mails.

Multiple – Refere-se a malwares que favorecem pelo menos dois vetores.

Malspam – E-mails não solicitados, que direcionam os usuários a baixar malware de sites mal-intencionados ou induzem o usuário a abrir um malware por meio de um anexo.

Network – Malware introduzido através da violação de protocolos ou ferramentas de rede legítimos, como SMB ou PowerShell remoto.

Os 10 Principais Malwares em Setembro de 2018

1. Emotet é um infostealer modular, que baixa ou dissemina trojans bancários. Ele pode infectar por meio de downloads de links ou anexos mal intencionados, como PDF ou documentos do Word habilitados para macro. O Emotet também incorpora módulos espalhadores, para se propagar através de uma rede. Em setembro de 2018, o Emotet foi visto espalhando o Zeus Panada, um trojan de acesso remoto (RAT).

2. WannaCry é um cryptoworm de ransomware, que usa o exploit EternalBlue para se espalhar via SMB. A versão 1.0 possui um domínio “killswitch”, que interrompe o processo de criptografia.

3. Kovter é um malware de fraude de cliques sem arquivo e um downloader que evita a detecção ocultando-se em chaves do registro. O Kovter pode ter recursos de backdoor e usa ganchos dentro de certas APIs para permanecer ativo.

4. ZeuS é um trojan bancário modular, que usa o acesso feito pela digitação no teclado para comprometer as credenciais da vítima, quando o usuário visita um site bancário. Desde o lançamento do código-fonte do ZeuS em 2011, muitas outras variantes de malware adotaram partes de sua base de código, o que significa que eventos classificados como ZeuS podem ser na verdade outro malware usando partes do código ZeuS.

5. CoinMiner é um minerador de criptomoedas, que usa o Windows Management Instrumentation (WMI) e o EternalBlue para se espalhar por uma rede. O CoinMiner usa o script WMI Standard Event Consumer para executar scripts para permanecer ativo.

6. NanoCore é uma propagação de RAT via malspam, como uma planilha Excel XLS maliciosa. Como um RAT, o NanoCore pode aceitar comandos para baixar e executar arquivos, visitar sites e adicionar chaves de registro para permanecer ativo.

7. Gh0st é um RAT usado para controlar endpoints infectados. O Gh0st é enviado por outro malware para criar um backdoor em um dispositivo, permitindo que um invasor controle totalmente o dispositivo infectado.

8. Mirai é um malware botnet conhecido por comprometer os dispositivos da Internet das Coisas (IoT), com a finalidade de conduzir ataques DDoS (Distributed Denial of Service) em larga escala. O Mirai é introduzido depois que um Exploit permitiu que o invasor obtivesse acesso a uma máquina.

9. Trickbot também é um trojan bancário modular, que é conhecido por ser introduzido pelo Emotet, bem como propagado através de campanhas malspam. O Trickbot é conhecido por baixar o trojan bancário IcedID.

10. AZORult é um infostealer que é conhecido por ser introduzido pelo trojan bancário IcedID e difundido através de campanhas malspam. O malware é conhecido por roubar informações e instalar o ransomware Hermes.

Fonte: https://www.cisecurity.org/blog/top-10-malware-september-2018/