Relatório do McAfee Labs sobre ameaças

Transcrição

1 RELATÓRIO Relatório do McAfee Labs sobre ameaças Setembro de 218 OS PRINCIPAIS ACONTECIMENTOS DO TRIMESTRE Quer invadir um dispositivo Windows 1 bloqueado? Pergunte à Cortana (CVE ) Relatório de ameaças: não entre na revolução da blockchain sem uma segurança garantida A quadrilha AsiaHitGroup coloca novamente aplicativos de fraude de cobrança na Google Play 1 Relatório do McAfee Labs sobre ameaças, setembro de 218

2 O McAfee Global Threat Intelligence analisou, em média, 1.8. URLs, 8. arquivos e outros 2. arquivos por dia em área restrita (sandbox) no segundo trimestre. Introdução Bem-vindo ao Relatório do McAfee Labs sobre ameaças, setembro de 218. Nesta edição, destacamos as notáveis pesquisas investigativas e tendências em estatísticas sobre ameaças reunidas pelas equipes do McAfee Advanced Threat Research e do McAfee Labs no segundo trimestre de 218. Os criminosos cibernéticos continuam atrás do dinheiro. Embora essa afirmação seja familiar, nosso relatório de ameaças mais recente mostra claramente a migração de determinados ataques mais antigos para novos vetores de ameaça, conforme estes se tornam mais lucrativos. Assim como no primeiro trimestre, vemos um aumento continuado da mineração de criptomoedas. Neste relatório, detalhamos descobertas recentes de três análises do McAfee Labs realizadas no segundo trimestre. Você pode ler resumos de cada uma delas nas páginas de 5 a 7. Uma área de investigação por parte de nossas equipes de pesquisa é a dos assistentes digitais. No segundo trimestre analisamos uma vulnerabilidade na Cortana, da Microsoft. Essa falha permitia que um atacante efetuasse login em um dispositivo Windows bloqueado e executasse código. Seguindo nossa política de divulgação de vulnerabilidades, comunicamos nossas descobertas à Microsoft; a análise resultou no CVE Também investigamos o mundo dos ataques de criptomoeda, com um exame profundo da tecnologia de blockchain. Nosso relatório detalhou muitas das vulnerabilidades que estão sendo exploradas por perpetradores de ameaças que buscam um retorno rápido de seu investimento. Este relatório foi pesquisado e redigido por: Christiaan Beek Carlos Castillo Cedric Cochin Ashley Dolezal Steve Grobman Charles McFarland Niamh Minihane Chris Palm Eric Peterson Steve Povolny Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun 2 Relatório do McAfee Labs sobre ameaças, setembro de 218

3 TÓPICO EM DESTAQUE Quanto ao malware, nosso relatório detalha uma área do crime cibernético que não costuma ser bem reportada, em comparação com os ataques de ransomware em grande escala e de grande repercussão, nos últimos 18 meses. Há bastante tempo, a fraude de cobrança é o modus operandi de vários grupos perpetradores de ameaças. Nós examinamos uma campanha do AsiaHitGroup que tentou cobrar 2. vítimas utilizando aplicativos de lojas oficiais, como a Google Play. No segundo trimestre, o McAfee Global Threat Intelligence recebeu, em média, 49 bilhões de consultas por dia. Enquanto isso, a quantidade de malware novo caiu pelo segundo trimestre consecutivo. No entanto, isso pode não ser significativo porque vimos um pico no quarto trimestre de 217 e as amostras novas permaneceram relativamente estáveis durante quatro dos cinco últimos trimestres. As novas amostras de malware móvel aumentaram 27% no segundo trimestre. Este é o segundo trimestre de crescimento sucessivo. O malware de mineração de moedas continua muito ativo: o total de amostras cresceu 86% no segundo trimestre, com mais de 2,5 milhões de novos arquivos adicionados ao banco de dados de malware. É com prazer que informamos que toda a nossa pesquisa já está disponível na plataforma McAfee epolicy Orchestrator (McAfee epo ), a partir da versão Trata-se de um acréscimo aos nossos canais sociais habituais, descritos abaixo, além das páginas do McAfee Labs e do McAfee Advanced Threat Research. Permaneça seguro. Fique informado. Steven Grobman, diretor de tecnologia da McAfee Raj Samani, cientista-chefe e associado da McAfee na equipe do Advanced Threat 3 Relatório do McAfee Labs sobre ameaças, setembro de 218

4 RELATÓRIO Sumário 4 Prev Nonce Hash Data 5 Quer invadir um dispositivo Windows 1 bloqueado? Pergunte à Cortana (CVE ) 6 Relatório de ameaças: não entre na revolução da blockchain sem uma segurança garantida 7 A quadrilha AsiaHitGroup coloca novamente aplicativos de fraude de cobrança na Google Play 9 Estatísticas sobre ameaças Relatório do McAfee Labs sobre ameaças, setembro de 218

5 TÓPICO EM DESTAQUE Os principais acontecimentos do trimestre Quer invadir um dispositivo Windows 1 bloqueado? Pergunte à Cortana (CVE ) O McAfee Labs e a equipe do Advanced Threat Research descobriram uma vulnerabilidade na assistente de voz Cortana do Microsoft Windows 1. A falha, para a qual a Microsoft forneceu uma correção em junho, pode levar a uma execução de código não autorizado. Nós explicamos como essa vulnerabilidade pode ser utilizada para executar código a partir da tela bloqueada de uma máquina Windows 1 com todos os patches aplicados (RS3 e RS4 antes do patch de junho). Nesta análise, tratamos dos três vetores da pesquisa que foram combinados pela Microsoft e que, juntos, representam o CVE O primeiro é um vazamento de informação; nós concluímos com uma demonstração que mostra plena execução de código para efetuar login em um dispositivo Windows bloqueado! Apresentamos essa vulnerabilidade à Microsoft em abril como parte da política de divulgação responsável da equipe do Advanced Threat Research. Os créditos pelo envio dessa vulnerabilidade vão para Cedric Cochin, arquiteto de segurança cibernética e engenheiro-chefe sênior. Vulnerabilidade da assistente Cortana da Microsoft Executar carga PS1(contornar AMSI, remover o Defender da equação e contornar UAC) Executar PS1 com integridade ALTA (sem UAC) Credenciais redefinidas. O adversário agora tem acesso total à sessão do usuário bloqueado Execução inicial Carga do 1º estágio Carga do 2º estágio Ações com base no objetivo Figura 1. Seguindo quatro etapas básicas, um atacante pode explorar a Cortana e obter controle total sobre um sistema Windows 1. 5 Relatório do McAfee Labs sobre ameaças, setembro de 218

6 TÓPICO EM DESTAQUE Relatório de ameaças: não entre na revolução da blockchain sem uma segurança garantida Devido à popularidade crescente das criptomoedas, a revolução da blockchain está a todo vapor. Os criminosos cibernéticos também descobriram novas abordagens, incluindo roubo e mineração ilegal de moedas, para gerar lucro. A equipe do McAfee Advanced Threat Research publicou em junho um relatório sobre ameaças de blockchain para explicar as ameaças atuais contra os usuários e implementadores de tecnologias de blockchain. Mesmo que ainda não tenha ouvido falar de blockchain, você provavelmente já ouviu falar de criptomoedas, especialmente Bitcoin, a implementação mais popular. As criptomoedas baseiam-se na blockchain, que registra transações de uma maneira descentralizada e viabiliza um livro-razão confiável entre os participantes, sem exigir que estes sejam confiáveis. Cada bloco do livro razão é vinculado ao bloco seguinte, criando uma cadeia de blocos. Essa cadeia possibilita que qualquer um valide todas as transações sem recorrer a uma fonte externa. A partir disso, moedas descentralizadas, como a Bitcoin, são possíveis. Neste relatório, nós examinamos os principais vetores de ataque, phishing, malware, vulnerabilidades nas implementações e tecnologia. Função de hashing Função de hashing Hash Nonce Hash Nonce Hash Nonce anterior Dados anterior Dados anterior Dados Bloco Os mineradores hasheiam um bloco até que um hash válido seja encontrado, incrementando o Nonce a cada tentativa. O hash válido torna-se parte do bloco seguinte. A cadeia pode ser seguida utilizando-se o hash anterior de cada bloco. Figura 2. Uma blockchain por prova de trabalho, baseada em cada hash anterior. Fonte: 6 Relatório do McAfee Labs sobre ameaças, setembro de 218

7 TÓPICO EM DESTAQUE A quadrilha AsiaHitGroup coloca novamente aplicativos de fraude de cobrança na Google Play A equipe do McAfee Mobile Research encontrou uma nova campanha de fraude de cobrança com pelo menos 15 aplicativos publicados em 218 na Google Play. A fraude de tarifa (que inclui fraude de cobrança) é uma categoria relevante de aplicativos potencialmente nocivos na Google Play, segundo o relatório Android Security 217 Year in Review (Segurança de Android: Retrospectiva do ano de 217). Essa nova campanha demonstra que os criminosos cibernéticos continuam encontrando maneiras novas de roubar dinheiro das vítimas utilizando aplicativos de lojas oficiais como a Google Play. Os agentes por trás dessa campanha (a quadrilha AsiaHitGroup) estão ativos desde o final de 216, pelo menos, tendo sido responsáveis pela distribuição de aplicativos instaladores falsos Sonvpay.A, que tentavam cobrar pelo menos 2. vítimas, principalmente da Tailândia e da Malásia, pelo download de cópias de aplicativos populares. Um ano depois, em novembro de 217, foi descoberta uma nova campanha (Sonvpay.B) na Google Play que utilizava geolocalização de endereços IP para confirmar o país da vítima e adicionava vítimas russas à fraude de cobrança para aumentar seu potencial de roubo de dinheiro de usuários incautos. Nossa investigação explica como funciona o malware dessas campanhas. Figura 3. Aplicativos maliciosos da quadrilha AsiaHitGroup anteriormente encontrados na Google Play. 7 Relatório do McAfee Labs sobre ameaças, setembro de 218

8 TÓPICO EM DESTAQUE ESTATÍSTICAS McAfee Global Threat Intelligence A cada trimestre, o dashboard da nuvem do McAfee Global Threat Intelligence (McAfee GTI) nos permite ver e analisar padrões de ataque do mundo real que resultam em uma proteção melhor para o cliente. Essas informações oferecem insights sobre os inúmeros ataques sofridos por nossos clientes. A cada dia, o McAfee GTI recebeu, em média, 49 bilhões de consultas e 13 bilhões de linhas de telemetria, enquanto analisava 1.8. URLs e 8. arquivos, além de outros 2. arquivos em uma área restrita (sandbox). As proteções do McAfee GTI contra arquivos maliciosos consideraram arriscados 86. (,1%) deles no segundo trimestre, dentre 86 milhões de arquivos testados. As proteções do McAfee GTI contra URLs maliciosos consideraram arriscados 365. (,5%) deles no segundo trimestre, dentre 73 milhões de URLs testados. As proteções do McAfee GTI contra endereços IP maliciosos consideraram arriscados 268. (,4%) deles no segundo trimestre, dentre 67 milhões de endereços IP testados. 8 Relatório do McAfee Labs sobre ameaças, setembro de 218

9 RELATÓRIO Estatísticas sobre ameaças 1 Malware 17 Incidentes 19 Ameaças na Web e pela rede 9 Relatório do McAfee Labs sobre ameaças, setembro de 218

10 Malware Malware novo Total de malware Os dados sobre malware vêm do banco de dados de amostras da McAfee, o qual inclui arquivos maliciosos coletados por spam traps da McAfee, crawlers e envios dos usuários, bem como de outras fontes do setor Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Malware de Mac OS novo Total de malware de Mac OS Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

11 Malware móvel novo Total de malware móvel Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Taxas regionais de infecção por malware móvel (percentual de usuários de dispositivos móveis que relataram infecções) Taxas globais de infecção por malware móvel (percentual de usuários de dispositivos móveis que relataram infecções) 14% 12% 18% 16% 14% 12% 1% 8% 6% 4% 2% % África Ásia Austrália Europa América do Norte América do Sul T3 217 T4 217 T1 218 T % 8% 6% 4% 2% % Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

12 Ransomware novo 2.. Total de ransomware Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Malware de travamento de tela de Android novo Total de malware de travamento de tela de Android Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

13 Binários assinados maliciosos novos Total de binários assinados maliciosos As autoridades de certificação oferecem certificados digitais que fornecem informações uma vez que um binário (ou aplicativo) seja assinado e validado pelo provedor de conteúdo. Quando criminosos cibernéticos obtêm certificados digitais para binários assinados maliciosos, a execução dos ataques se torna muito mais simples Malware de exploração novo Fonte: McAfee Labs, Total de malware de exploração Fonte: McAfee Labs, As explorações tiram proveito de bugs e vulnerabilidades em software e hardware. Ataques de dia zero são exemplos de explorações bemsucedidas. Para conhecer um exemplo, consulte a seguinte postagem do McAfee Labs: Analyzing Microsoft Office Zero-Day Exploit CVE : Memory Corruption Vulnerability (Análise da exploração de dia zero do Microsoft Office: CVE : vulnerabilidade de corrupção de memória). Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

14 Malware de macro novo Total de malware de macro O malware de macro normalmente chega na forma de um documento do Word ou do Excel em um de spam ou anexo compactado. Nomes de arquivo falsos, mas tentadores, incentivam as vítimas a abrir os documentos, o que resulta em infecção, caso macros sejam permitidas Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Malware Faceliker novo Total de malware Faceliker O cavalo de Troia Faceliker manipula cliques do Facebook para gerar likes artificiais de determinados conteúdos. Para saber mais, leia esta postagem do McAfee Labs Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

15 Malware de JavaScript novo Total de malware de JavaScript Para saber mais sobre ameaças em JavaScript e PowerShell, leia A ascensão do malware baseado em script, de uma edição anterior do Relatório do McAfee Labs sobre ameaças Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Malware de PowerShell novo Total de malware de PowerShell Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

16 Malware LNK novo Total de malware LNK Os criminosos cibernéticos estão, cada vez mais, utilizando atalhos.lnk para entregar sub-repticiamente scripts maliciosos em PowerShell e outras formas de malware Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Malware de mineracão de criptomoedas novo Total de malware de mineracão de criptomoedas O malware de mineração de moedas sequestra sistemas para criar ( minerar ) criptomoedas sem o consentimento ou o conhecimento das vítimas. As novas ameaças de mineração de criptomoedas aumentaram incrivelmente em Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

17 Incidentes Incidentes de segurança divulgados publicamente, por região (número de incidentes divulgados publicamente) 1 principais vetores de ataque em (número de violações reportadas) Dados sobre incidentes de segurança são compilados de várias fontes, incluindo hackmageddon.com, privacyrights.org/data breaches, haveibeenpwned.com e databreaches.net África Ásia-Pacífico Diversas regiões Américas Europa Desconhecido Malware Invasão de contas Vazamento Acesso não autorizado Roubo Vulnerabilidade Fraude W-2 Negação de serviço Adulteração Os vetores de ataque, na maioria, não são conhecidos ou não são divulgados publicamente. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

18 Principais setores visados nas Américas do Norte e do Sul (número de violações reportadas) 45 1 setores mais visados em (número de violações reportadas) Assistência médica Público Finanças Educação Diversos Mídia Entretenimento Tecnologia Varejo Criptomoedas Assistência médica Público Diversos Educação Finanças Entretenimento Varejo Mídia Tecnologia Serviços on-line T3 217 T4 217 T1 218 T2 218 Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

19 Ameaças na Web e pela rede Novos URLs suspeitos Fonte: McAfee Labs, 218. Novos URLs de downloads maliciosos Novos URLs maliciosos Novos URLs de phishing Fonte: McAfee Labs, 218. O banco de dados da Web McAfee TrustedSource contém URLs (páginas da Web) organizados em categorias, com base em reputação na Web, para uso com políticas de filtragem no gerenciamento do acesso à Web. URLs suspeitos são o número total de sites classificados como de alto ou médio risco. Os URLs maliciosos distribuem código, incluindo executáveis de passagem (ou drive-by ) e cavalos de Troia, desenvolvidos para sequestrar a atividade ou as configurações do computador. Os downloads maliciosos vêm de sites que permitem ao usuário fazer, inadvertidamente, download de código prejudicial ou incômodo. URLs de phishing são páginas da Web frequentemente incluídas em s de boatos para roubar informações de contas do usuário Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

20 Principais exemplares de malware com conexão a servidores de controle no 2 trimestre 1% 1% 1% 1% 2% 3% 4% GoScanSSH Wapomi 5% China Chopper Maazben 52% Ramnit 35% Salty Muieblackcat Mirai Outros Predomínio de redes de bot de spam por volume no 2 trimestre 3% 2%1% 1% 7% Gamut Cutwail Stealrat Kelihos Necurs 86% Outras A rede de bots de spam Gamut superou todas as demais no segundo trimestre. Ela se destacou pelo grande volume de fraudes de phishing da Agência de Imposto de Renda do Canadá. Campanhas recentes foram relacionadas a falsas ofertas de trabalho que são frequentemente utilizadas como tática de recrutamento de mulas de dinheiro. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Principais países que hospedaram servidores de controle de redes de bots no 2 trimestre Principais ataques de rede no 2 trimestre 24% 2% 2% 2% 2% 4% 4% 5% 5% 14% 36% Estados Unidos Alemanha Rússia Holanda França China Japão Brasil Reino Unido Hong Kong Outros 9% 13% 4% 3% 3% 3% Negação de serviço 13% 52% Server Message Block (SMB) Navegador Força bruta Web DNS Varredura SSL Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Relatório do McAfee Labs sobre ameaças, setembro de 218

21 Sobre a McAfee A McAfee é a empresa de segurança cibernética do dispositivo à nuvem. Inspirada pelo poder do trabalho em equipe, a McAfee cria soluções que tornam nosso mundo um lugar mais seguro para as empresas e os consumidores. Ao criar soluções que operam com produtos de outras empresas, a McAfee ajuda as empresas a orquestrar ambientes cibernéticos verdadeiramente integrados, onde a proteção, a detecção e a neutralização de ameaças ocorrem de forma simultânea e colaborativa. A McAfee protege todos os dispositivos dos clientes para que eles tenham segurança em seu estilo de vida digital, tanto em casa quanto em trânsito. Com sua iniciativa de trabalhar ao lado de outras empresas de segurança, a McAfee lidera os esforços de unificação contra os criminosos cibernéticos. O resultado? Todos saem ganhando. Sobre o McAfee Labs e o McAfee Advanced Threat Research O McAfee Labs, liderado pelo McAfee Advanced Threat Research, é uma das maiores fontes do mundo em pesquisa de ameaças, inteligência contra ameaças e liderança em ideias sobre segurança cibernética. Com dados de milhões de sensores nos principais vetores de ameaça arquivos, Web, mensagens e rede o McAfee Labs e o McAfee Advanced Threat Research oferecem inteligência contra ameaças em tempo real, análises críticas e opinião de especialistas para aprimorar a proteção e reduzir os riscos. Av. Nações Unidas, º andar Pinheiros São Paulo SP CEP , Brasil McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, LLC ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Copyright 218 McAfee, LLC. 4116_918 SETEMBRO DE Relatório do McAfee Labs sobre ameaças, setembro de 218