Relatório de Ameaças ESET T2 2022

Os últimos quatro meses foram época de férias de verão para muitos de nós no hemisfério norte. Parece que alguns operadores de malware também aproveitaram este momento como uma oportunidade para possivelmente descansar, reorientar e reanalisar os seus procedimentos e atividades atuais.

Pela nossa telemetria, agosto foi mês de férias para os operadores de Emotet, a cepa de downloader mais influente. A turma por trás disso também se adaptou à decisão da Microsoft de desabilitar macros VBA em documentos provenientes da Internet e se concentrou em campanhas baseadas em arquivos do Microsoft Office e arquivos LNK transformados em armas.

No T2 2022, vimos a continuação do declínio acentuado dos ataques do Remote Desktop Protocol (RDP), que provavelmente continuaram a perder força devido à guerra Rússia-Ucrânia, juntamente com o retorno pós-COVID aos escritórios e a melhoria geral da segurança dos ambientes corporativos.

Mesmo com números decrescentes, os endereços IP russos continuaram a ser responsáveis ​​pela maior parte dos ataques RDP. No T1 2022, a Rússia também foi o país mais visado pelo ransomware, sendo alguns dos ataques motivados política ou ideologicamente pela guerra. No entanto, como você lerá no ESET Threat Report T2 2022, essa onda de hacktivismo diminuiu no T2 e os operadores de ransomware voltaram sua atenção para os Estados Unidos, China e Israel.

Em termos de ameaças que afetam principalmente os usuários domésticos, vimos um aumento de seis vezes nas detecções de iscas de phishing com tema de remessa, na maioria das vezes apresentando às vítimas solicitações falsas da DHL e do USPS para verificar os endereços de remessa.

Um web skimmer conhecido como Magecart, que triplicou no T1 2022, continuou a ser a principal ameaça que persegue os detalhes do cartão de crédito dos compradores online. A queda nas taxas de câmbio das criptomoedas também afetou as ameaças on-line – os criminosos passaram a roubar criptomoedas em vez de minerá-las, como visto em um aumento duplo nas iscas de phishing com tema de criptomoeda e no número crescente de ladrões de criptomoedas.

Os últimos quatro meses também foram interessantes em termos de pesquisa. Nossos pesquisadores descobriram um até então desconhecido backdoor do macOS e mais tarde atribuiu-o ao ScarCruft, descobriu uma versão atualizada do grupo Sandworm APT Carregador de malware ArguePatch, descobriu Lázaro payloads in aplicativos trojanizados, e analisou uma instância do Lazarus Campanha da Operação In(ter)cepção visando dispositivos macOS durante o spearphishing em águas criptográficas. Eles também descobriram vulnerabilidades de buffer overflow no firmware Lenovo UEFI e uma nova campanha usando um atualização falsa do Salesforce como uma isca.

Durante os últimos meses, continuamos a compartilhar nosso conhecimento nas conferências de segurança cibernética Virus Bulletin, Black Hat USA, RSA, CODE BLUE, SecTor, REcon, LABSCon e BSides Montreal, onde divulgamos nossas descobertas sobre campanhas implantadas pela OilRig, APT35, Agrius, Sandworm, Lazarus e POLÔNIO. Também falamos sobre o futuro das ameaças UEFI, dissecamos o carregador exclusivo que chamamos de Wslink e explicamos como a ESET Research atribui ameaças e campanhas maliciosas. Nos próximos meses, temos o prazer de convidá-lo para as palestras da ESET no AVAR, Ekoparty e muitos outros.

Desejo uma leitura esclarecedora.

Siga-nos Pesquisa ESET no Twitter para atualizações regulares sobre as principais tendências e principais ameaças.