O Coinhive já afetou 19% das organizações mundiais. Os analistas da Check Point também observaram um aumento significativo nos ataques com o Conhive em PCs e dispositivos que utilizam o browser Safari, o qual é o principal browser em dispositivos Apple. O malware de mining, Cryptoloot subiu ao terceiro posto no Índice de Ameaças, tornando-se, assim, no segundo criptominer com maior longevidade no índice. O Cryptoloot tem intenção de competir com o Coinhive ao pedir uma percentagem menor das receitas que o Coinhive pede. 

 “O criptomining continua a ser a ameaça dominante para as organizações globais,” afirma Maya Horowitz, Threat Intelligence Group Manager da Check Point. “O que é mais interessante são os ataques aos iPhone que quadruplicaram, e dispositivos que utilizaram o browser Safari nas últimas duas semanas de setembro. Os ataques contra os dispositivos Apple não estão a utilizar uma funcionalidade nova, por isso, continuamos a investigar as razões por detrás deste crescimento.”

“Entretanto, ataques como estes servem para relembrar que os dispositivos móveis são um elemento esquecido no panorama dos ataques às organizações, por isso é crítico que estes dispositivos sejam protegidos com uma solução de prevenção de ameaças compreensiva, para eliminar que sejam o ponto fraco na defesa da segurança corporativa.”

Durante o mês de setembro de 2018, o Dorkbot, um trojan que rouba informações sensíveis e lança ataques de negação de serviço, manteve-se no segundo lugar com um impacto global de 7%.

Top 3 de malware em Portugal durante o mês de setembro de 2018

*As setas significam as mudanças que houve em comparação com o mês anterior.

1. ↔ Coinhive - É um Cripto Miner desenhado para realizar mining online da criptomoeda Monero quando um utilizador entra na página web sem autorização do utilizador. O JavaScript implementado utiliza elevados recursos de computação do utilizador final para minar moedas, impactando assim a performance dos dispositivos. Este crypto miner causou um impacto nacional de 36.11%.
2. ↔ Cryptoloot - É um malware de Crypto Miner que utiliza a energia e os recursos existentes do CPU ou GPU para fazer crypto mining adicionando transações para criar mais moedas. É um concorrente do Coinhive que tenta tirar-lhe o tapete ao pedir uma percentagem menor de receitas aos websites. Este teve um impacto nacional de 17.55%.
3. ↔ Roughted - É um Mavertising de grande escala utilizado para divulgar websites maliciosos e com conteúdos como burlas, adware, explorações e ransomware. Pode ser utilizado em qualquer plataforma e sistema operativo, serve também para contornar os ad-blockers e impressões digitais. Este causou um impacto nacional de 14.39%.

Mais uma vez, O Lokibot, um banking Trojan para Android, foi o malware mais popular no ataque aos telemóveis das organizações, sendo seguido pelo Lotoor e o Triada.

Top Mobile Malware do Mundo durante o mês de setembro de 2018

1. Lokibot – É um Trojan bancário que tem como alvo smartphones Android e torna-se num ransomware depois da vítima tentar retirar-lhe o privilégio de administrador.
2. Lotoor – É uma ferramenta de hacking que explora as vulnerabilidades num sistema operativo Android para ganhar privilégios de administração nos dispositivos móveis comprometidos.
3. Triada – É um Backdoor modular para Android que dá privilégios de super-utilizador para fazer download de malwares e ajuda a que seja incorporado nos processadores. O Triada já foi encontrado a fazer spoofing nos URLs abertos nos browsers.                                                            

Os analistas da Check Point também analisaram as ciber vulnerabilidades mais exploradas. Em primeiro lugar está o CVE-2017-7269 com um impacto global de 48%. Em segundo lugar está o CVE-2016-6309 com um impacto de 43% e logo a seguir está a Inserção de Código para Servidores Web PHPMyAdmin Misconfiguration impactando 42% nas organizações.

Top vulnerabilidades ‘Mais Exploradas’ durante o mês de setembro de 2018

1. ↔ ScStoragePathFromUrl Buffer Overflow no Microsoft IIS WebDAV (CVE-2017-7269) – Ao enviar um pedido criado na rede de Microsoft Windows Server 2003 R2 através do Microsoft Internet Information Services 6.0, um atacante remoto pode executar um código arbitrário ou causar uma negação de condição de serviços no servidor atacado. Isto acontece principalmente por uma vulnerabilidade no overflow que resulta de uma validação imprópria de um cabeçalho longo de HTTP.
2. ↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) ­– A vulnerabilidade use-after-free foi denunciada no tls_get_message_body function de OpenSSL. Um atacante remoto e não autenticado poderia explorar esta vulnerabilidade ao enviar uma mensagem elaborada ao servidor vulnerável. Uma exploração bem-sucedida permite que os atacantes executem no sistema códigos arbitrários.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – Uma vulnerabilidade de inserção de código foi denunciada no PHPMyAdmin. Esta vulnerabilidade é devido à má configuração do PHPMyAdmin. Um atacante remoto pode explorar esta vulnerabilidade ao enviar um pedido HTTP especialmente elaborado ao seu alvo.

O Índice de Impacto Global de Ameaças da Check Point e o Mapa de Ciberameaças ThreatCloud são alimentados por informação proveniente da Check Point ThreatCloudTM, a maior rede colaborativa de luta contra o cibercrime, que oferece informação e tendências sobre ciberataques através de uma rede global de sensores de ameaças. A base de dados inclui mais de 250 milhões endereços que são analisados para descobrir bots, cerca de 11 milhões de assinaturas e 5,5 milhões de websites infetados. Além disso, identifica milhões de tipos de malware todos os dias.

Pode ver a lista completa das 10 principais famílias de setembro no Blog da Check Point Security em http://blog.checkpoint.com/2018/10/15/september-2018s-most-wanted-malware-cryptomining-attacks-against-apple-devices-on-the-rise/