O relatório de ameaças de malware do 1o trimestre de 2020 da Avira demonstrou ameaças cibernéticas e exploits, especialmente campanhas de phishing e malspam, além de um aumento em ataques relacionados com Emotet.
O relatório de ameaças de malware do início deste ano nos fornece uma visão mais aprofundada de ataques sofisticados, incluindo categorias de ameaça PE (executável portátil) e não-PE, ameaças para Android e macOS. Também vamos analisar de perto os crescentes ataques contra Office e malware de IoT observados pelo Avira Protection Labs.
Hackers deixaram de focar de volume e se voltaram para metodologias mais sofisticadas
No 2o trimestre de 2020, vimos uma pequena redução no número total de eventos de detecção. Essa redução geral nos eventos de detecção pode ser atribuída a uma mudança no foco dos autores de malware, saindo do foco em volume para metodologias mais complexas e sofisticadas, usando MS Office e ameaças baseadas em script. Apesar dos dispositivos móveis terem enfrentado menos ataques em comparação com o 1o trimestre de 2020, Adware e PUA continuam crescendo.
PE (‘Portable Executable’) ou ‘executável portátil’ é a maneira comum de descrever binários executáveis no Windows. Entre os PE, estão os tipos de arquivos ‘.exe‘ e ‘.dll‘, além de formatos menos conhecidos como ‘.scr‘.De longe, são a estrutura de dados mais usada para ataques de malware na plataforma Windows.
No geral, a mistura de categorias de malware é bem estável, com os cavalos de Troia sendo os mais comuns, seguidos dos infectadores de arquivos.
Trabalho remoto durante o coronavírus: novas oportunidades para hackers
Durante o 2o trimestre de 2020 muitas pessoas ficaram em casa por causa da pandemia. Autores de malware e indivíduos mal-intencionados notaram a oportunidade apresentada por usuários trabalhando fora de seu ambiente de trabalho e adaptaram seus ataques.
Nesse trimestre, observamos um aumento de amostras não-PE em circulação, mas também um aumento nos ataques (prevenidos) em nossa base de clientes. Ameaças não-PE, como o nome sugere, não são executáveis do Windows, mas outras maneiras de infectar máquinas. Nessa categoria, temos arquivos Office, scripts, PDFs e outros exploits.
Vimos um aumento significativo nas detecções baseadas em script (73,55%) e detecções de macro baseadas em Office (30,43%). Também vimos uma tendência mensal de afastamento de PDFs e um aumento em ataques JavaScript.
Quando analisamos detalhadamente as 10 maiores ameaças não PE, observamos a mesma tendência. Detecções baseadas em Office e web estão entre as mais comuns:
O aumento mais significativo foi observado em documentos Office usando Excel 4.0 ou técnicas de macros XLM. Ganhou popularidade entre os autores de malware durante o último ano. Como exibido na imagem abaixo, o pico foi em maio, seguido de uma tendência de baixa em junho.
Em resumo, se trata de uma técnica antiga e conhecida, mas essa nova campanha utilizou alguns truques para confundir os usuários. Alguns deles utilizaram propriedades ocultas ou muito escondidas para camuflar as folhas que continham o código macro e outros tinham proteção de senha.
Romênia, Itália e França foram os países europeus mais atacados
A média europeia fica abaixo na média no número de ataques, com a România sendo o país mais atacado, com 436 ataques para cada 10.000 clientes. Outros países notáveis: EUA/França (117), Itália (109), Reino Unido (100), Alemanha (71), Canadá (65).
O trimestre anterior foi marcado por um forte ataque relacionado com a pandemia de COVID-19 que deixou uma marca no ecossistema Android. Autores de malware se aproveitaram do caos e da busca dos usuários de Android por informações e proteção.
Todos os tipos de malware, desde spyware e adware até cavalos de Troia e interceptadores de SMS mais sofisticados, foram distribuídos como se fossem apps relacionados com COVID-19. Analisamos anteriormente o ciclo de infecção do cavalo de Troia bancário Cerberus.
Dispositivos Apple são mais seguros, mas não infalíveis
Enquanto a maioria das pessoas ainda acredita que o macOS não sofre com malware, o sistema Apple também enfrenta ataques baseados em script e Office, incluindo ameaças de Adware.
No gráfico acima vemos a variedade de ameaças que dispositivos Apple enfrentam. Em termos de categorias de ameaça, Adware está no topo da lista, seguida de HTML (detecta arquivos capazes de infectar o sistema usando um script HTML), Office (malware pronto para infectar o sistema através de truques como macros e scripts VBA dentro de arquivos do Office) e Exploit (arquivos que exploram vulnerabilidades presentes no sistema alvo ou em aplicativos específicos instalados nele). A categoria Outras inclui arquivos maliciosos detectados como macOS (malware utilizando binários específicos de macOS), arquivos usando extensões falsas ou escondidas, phishing e PUA.
