{"id":1904,"date":"2020-05-14T16:25:42","date_gmt":"2020-05-14T19:25:42","guid":{"rendered":"https:\/\/www.pqn.com.br\/portal\/?p=1904"},"modified":"2020-05-14T16:25:42","modified_gmt":"2020-05-14T19:25:42","slug":"agent-tesla-o-trojan-de-acesso-remoto-mais-adotado-em-campanhas-de-spam-relacionadas-ao-coronavirus","status":"publish","type":"post","link":"https:\/\/www.pqn.com.br\/portal\/agent-tesla-o-trojan-de-acesso-remoto-mais-adotado-em-campanhas-de-spam-relacionadas-ao-coronavirus\/","title":{"rendered":"Agent Tesla: o Trojan de acesso remoto mais adotado em campanhas de spam relacionadas ao Coronav\u00edrus"},"content":{"rendered":"
\"\"

Divulga\u00e7\u00e3o<\/p><\/div>\n

A Check Point Research (CPR), bra\u00e7o de Intelig\u00eancia em Amea\u00e7as da Check Point\u00ae Software Technologies Ltd<\/a>. (NASDAQ: CHKP), uma fornecedora l\u00edder de solu\u00e7\u00f5es de ciberseguran\u00e7a global, acaba de divulgar o mais recente \u00cdndice Global de Amea\u00e7as de Abril 2020. Os pesquisadores descobriram diversas campanhas de spam relacionadas ao Coronav\u00edrus (COVID-19) serem propagadas com a nova variante do Trojan de acesso remoto Agent Tesla, durante o m\u00eas passado, o qual subiu para o 3\u00ba lugar do \u00edndice mensal impactando em 3% as organiza\u00e7\u00f5es em todo o mundo.<\/p>\n

A nova variante do Agent Tesla foi modificada para roubar senhas de Wi-Fi, al\u00e9m de outras informa\u00e7\u00f5es como as credenciais de e-mail do Outlook dos computadores das v\u00edtimas. Durante o m\u00eas de abril, o Agent Tesla foi distribu\u00eddo como anexo em diversas campanhas de spam relacionadas \u00e0 COVID-19 que tentavam atrair a v\u00edtima para efetuar o download de arquivos maliciosos sob o pretexto de conter informa\u00e7\u00e3o interessante sobre a pandemia.<\/p>\n

Uma dessas campanhas indicava ter sido enviada pela OMS (Organiza\u00e7\u00e3o Mundial da Sa\u00fade) com o assunto: \u201cURGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST\/RESULT UPDATE\u201d (\u201cINFORMA\u00c7\u00c3O URGENTE: ATUALIZA\u00c7\u00c3O SOBRE PRIMEIRO TESTE DE VACINA COVID-19 EM HUMANOS\u201d). Isto demonstra como os hackers exploram eventos globais em evid\u00eancia no notici\u00e1rio e referentes \u00e0s preocupa\u00e7\u00f5es de ordem p\u00fablica para aumentar as taxas de sucesso dos seus ataques.<\/p>\n

O conhecido Trojan banc\u00e1rio Dridex, que entrou pela primeira vez no ranking Top 10 do \u00cdndice de Amea\u00e7as em mar\u00e7o, teve um impacto ainda maior em abril. Ele subiu para o 1\u00ba lugar do \u00edndice em rela\u00e7\u00e3o \u00e0 sua 3\u00aa posi\u00e7\u00e3o registrada em mar\u00e7o, impactando 4% das organiza\u00e7\u00f5es a n\u00edvel global. O XMRig, o malware mais predominante de mar\u00e7o, caiu para a 2\u00aa posi\u00e7\u00e3o.<\/p>\n

\u201cAs campanhas de e-mail de spam do Agent Tesla, que vimos em abril, demonstram o qu\u00e3o \u00e1geis os cibercriminosos podem ser quando se trata de explorar temas que est\u00e3o no notici\u00e1rio e enganar as v\u00edtimas para que cliquem em um link infectado\u201d, afirma Maya Horowitz, diretora de Threat Intelligence & Research, Produtos da Check Point. \u201cCom o Agent Tesla e o Dridex entre os tr\u00eas primeiros lugares no \u00edndice de amea\u00e7as, os criminosos concentram-se em roubar dados e credenciais profissionais e pessoais para que possam monetiz\u00e1-los. Portanto, \u00e9 fundamental que as organiza\u00e7\u00f5es adotem uma abordagem proativa e din\u00e2mica na educa\u00e7\u00e3o dos usu\u00e1rios, mantendo seus colaboradores informados sobre as mais recentes ferramentas e t\u00e9cnicas de seguran\u00e7a, principalmente agora em que h\u00e1 muito mais colaboradores trabalhando em casa.\u201d<\/p>\n

Os pesquisadores tamb\u00e9m alertaram para a \u201cMVPower DVR Remote Code Execution\u201d, a qual se manteve como a vulnerabilidade mais explorada, com um impacto de 46% nas organiza\u00e7\u00f5es a n\u00edvel global, seguida de perto pela \u201cOpenSSL TLS DTLS Heartbeat Information Disclosure\u201d, com um impacto global de 41%, e pela \u201cCommand Injection Over HTTP Payload\u201d com impacto em 40%.<\/p>\n

\n

As principais fam\u00edlias de malware<\/strong><\/p>\n

* As setas est\u00e3o relacionadas \u00e0 altera\u00e7\u00e3o na classifica\u00e7\u00e3o em compara\u00e7\u00e3o com o m\u00eas anterior.<\/em><\/p>\n

Em abril, o Dridex alcan\u00e7ou o 1\u00ba lugar impactando 4% das organiza\u00e7\u00f5es em todo o mundo, seguido por XMRig e Agent Tesla, impactando 4% e 3% respectivamente.<\/p>\n

No Brasil, o XMRig permaneceu na 1\u00aa posi\u00e7\u00e3o do ranking do pa\u00eds em abril (ocupou tamb\u00e9m a lideran\u00e7a no m\u00eas de mar\u00e7o) com 4,99% de impacto nas organiza\u00e7\u00f5es; o Dridex saltou do 9\u00ba lugar em mar\u00e7o (1,68%) para o 2\u00ba lugar em abril com impacto de 2,45%; e o Agent Tesla n\u00e3o apareceu no ranking do Brasil at\u00e9 o momento.<\/p>\n

Descri\u00e7\u00e3o dos tr\u00eas primeiros malwares do \u00edndice global:<\/p>\n

    \n
  1. \u2191 Dridex<\/strong> \u2013 \u00c9 um Trojan banc\u00e1rio direcionado \u00e0 plataforma Windows e \u00e9 distribu\u00eddo via campanhas de spam e kits de explora\u00e7\u00e3o, os quais contam com o WebInjects para interceptar e redirecionar credenciais banc\u00e1rias para um servidor controlado por atacante. O Dridex entra em contato com um servidor remoto, envia informa\u00e7\u00f5es sobre o sistema infectado e pode baixar e executar m\u00f3dulos adicionais para controle remoto.<\/li>\n
  2. \u2193 XMRig <\/strong>– \u00c9 um software de minera\u00e7\u00e3o de CPU de c\u00f3digo aberto usado para o processo de minera\u00e7\u00e3o da criptomoeda Monero e visto pela primeira vez em maio de 2017.<\/li>\n
  3. \u2191 Agent Tesla <\/strong>– \u00c9 um RAT (remote access Trojan) avan\u00e7ado que funciona como um keylogger<\/em> e ladr\u00e3o de informa\u00e7\u00f5es, capaz de monitorar e coletar as entradas do teclado da v\u00edtima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na m\u00e1quina da v\u00edtima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). O Agent Tesla chegou a ser vendido publicamente como um Trojan de Acesso Remoto a valores entre US$15 e US$69 por cada licen\u00e7a de usu\u00e1rio.<\/li>\n<\/ol>\n

    \n

    As vulnerabilidades “Mais exploradas” de abril:<\/strong><\/p>\n

    \n

    Em abril, o \u201cMVPower DVR Remote Code Execution<\/strong>\u201d foi a vulnerabilidade explorada mais comum, impactando 46% das organiza\u00e7\u00f5es globalmente, seguida por \u201cOpenSSL TLS DTLS Heartbeat Information Disclosure<\/strong>\u201d com um impacto global de 41%. Em terceiro lugar, a vulnerabilidade \u201cCommand Injection Over HTTP Payload<\/strong>\u201d impactou 40% das organiza\u00e7\u00f5es em todo o mundo, principalmente em ataques que exploram uma vulnerabilidade de dia zero em roteadores e dispositivos de switch “DrayTek” (CVE-2020-8515).<\/p>\n

      \n
    1. \u2194 MVPower DVR Remote Code Execution (<\/strong>Execu\u00e7\u00e3o remota de c\u00f3digo do MVPower DVR)<\/strong> \u2013 Existe uma vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar c\u00f3digo arbitr\u00e1rio no roteador afetado por meio de uma solicita\u00e7\u00e3o de acesso criada.<\/li>\n
    2. \u2191 OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) <\/strong>– Existe no OpenSSL uma vulnerabilidade na divulga\u00e7\u00e3o de informa\u00e7\u00e3o. Esta se deve a um erro relativo aos TLS\/DTLS heartbeat packets. O atacante pode utilizar esta vulnerabilidade para divulgar conte\u00fado da mem\u00f3ria de um cliente ou servidor conectados.<\/li>\n
    3. \u2191 Command Injection Over HTTP Payload<\/strong> – Um atacante remoto pode explorar esse problema enviando uma solicita\u00e7\u00e3o especialmente criada \u00e0 v\u00edtima. A explora\u00e7\u00e3o bem-sucedida permitiria ao atacante executar c\u00f3digo arbitr\u00e1rio na m\u00e1quina de destino.<\/li>\n<\/ol>\n

      \n

      Principais fam\u00edlias de malware \u2013 Dispositivos m\u00f3veis<\/strong><\/p>\n

      Em abril, o xHelper<\/strong> ainda permanece em 1\u00ba lugar como malware m\u00f3vel mais predominante globalmente, seguido pelo Lotoor<\/strong> e AndroidBauts<\/strong>.<\/p>\n

        \n
      1. xHelper<\/strong> – Um aplicativo Android malicioso, observado desde mar\u00e7o de 2019, usado para baixar outros aplicativos maliciosos e exibir an\u00fancios. O aplicativo \u00e9 capaz de se esconder do usu\u00e1rio e se reinstala caso seja desinstalado.<\/li>\n
      2. Lotoor<\/strong> \u2013 Uma ferramenta de invas\u00e3o (\u201chacking\u201d) que explora vulnerabilidades nos sistemas operacionais Android para obter privil\u00e9gios de root (superusu\u00e1rio) em dispositivos m\u00f3veis comprometidos.<\/li>\n
      3. AndroidBauts<\/strong> – Adware direcionado a usu\u00e1rios do Android que exfiltram IMEI, IMSI, localiza\u00e7\u00e3o GPS e outras informa\u00e7\u00f5es do dispositivo e permite a instala\u00e7\u00e3o de aplicativos e atalhos de terceiros em dispositivos m\u00f3veis.<\/li>\n<\/ol>\n

        \n

        Malwares “mais procurados” no Brasil em abril:<\/strong><\/p>\n