O MS-ISAC observou o retorno de BitCoin Miner, Mirai e Ursnif ao Top 10, as 10 principais variantes de malware compreendem 62% da atividade total de malware em junho de 2021, diminuindo 13% em relação a maio de 2021. Shlayer provavelmente irá continuar sua prevalência no Top 10 de malware no próximo trimestre. No entanto, um patch recente da Apple aborda uma vulnerabilidade de dia zero usada por Shlayer. Isso provavelmente está reduzindo seu efeito, pois vimos uma redução de 57% nas infecções em relação ao mês anterior.
Em junho de 2021, o malvertisement foi responsável pelo maior número de alertas. O malvertisement continua como o principal vetor de infecção inicial devido à atividade do Shlayer. Os níveis de atividade para queda aumentaram, enquanto a atividade para malspam, malvertisement e múltiplo diminuiu.
A atividade do Shlayer caiu 57% em relação ao mês anterior, provavelmente devido ao patch recente da Apple que afetou sua campanha. O patch corrige uma vulnerabilidade de dia zero explorada pelo Shlayer para contornar as verificações de segurança do Gatekeeper, File Quarantine e Notarization da Apple. O patch provavelmente afetará a capacidade do Shlayer de baixar cargas maliciosas de segundo estágio, bem como sua capacidade de baixar sua própria carga útil. No entanto, é improvável que interrompa seu vetor de infecção inicial como um todo. É provável que o malvertisement continue sendo o principal vetor de infecção à medida que a campanha do Shlayer se desenrola.
Droped - Malware distribuído por outro malware já no sistema, um kit de exploração, software de terceiros infectado ou manualmente por um ator de ameaça cibernética. Mirai e Gh0st são os únicos malwares descartados.
Multiple - Malware que atualmente favorece pelo menos dois vetores. Atualmente, BitCoin Miner, CoinMiner, CryptoWall e ZeuS são os malwares que utilizam vários vetores. O ZeuS é descartado por outro malware, mas também é fornecido por meio de malvertisement.
Malspam - E-mails não solicitados, que direcionam os usuários a sites maliciosos ou induzem os usuários a baixar ou abrir malware. Os 10 principais malwares que usam essa técnica são NanoCore, Quasar e Ursnif.
Malvertisement - Malware introduzido por meio de anúncios maliciosos. Atualmente, o Shlayer é o único Malware Top 10 que usa essa técnica.TOP 10
1. Shlayer
Shlayer é um downloader e um dropper para malware do MacOS. Ele é distribuído principalmente por meio de sites maliciosos, domínios sequestrados e malvertizing se passando por um falso atualizador do Adobe Flash.
Todos os domínios do Shlayer seguem o mesmo padrão <api.random_name.com>. Abaixo estão vários exemplos de domínios que o Shlayer usa.
Domínios
api [.] interfacecache [.] com
api [.] scalableunit [.] com
api [.] Typicalconfig [.] com
api [.] standartanalog [.] com
api [.] fieldenumerator [.] com
api [.] electricalsprint [.] com
api [.] searchwebsvc [.] com
api [.] connectedtask [.] com
api [.] navigationbuffer [.] com
api [.] windowtask [.] com
2. CoinMiner
CoinMiner é um minerador de criptomoedas que usa Windows Management Instrumentation (WMI) e EternalBlue para se espalhar por uma rede. O CoinMiner usa o script WMI Standard Event Consumer para executar scripts para persistência. O CoinMiner se espalha por meio de malspam ou é descartado por outro malware.
3. Mirai
Mirai é um botnet de malware conhecido por comprometer dispositivos de Internet das Coisas (IoT) para conduzir ataques DDoS em grande escala. Mirai é descartado após uma exploração permitir que o invasor obtenha acesso a uma máquina.
4. NanoCore
NanoCore é um RAT espalhado via malspam como uma planilha Excel XLS maliciosa. Como um RAT, o NanoCore pode aceitar comandos para baixar e executar arquivos, visitar sites e adicionar chaves de registro para persistência.
5. Quasar
Quasar é uma ferramenta de administração remota de código aberto na plataforma Windows. É usado como um RAT para criar backdoors.
6. ZeuS
ZeuS é um cavalo de Tróia bancário modular que usa registro de pressionamento de tecla para comprometer as credenciais da vítima quando o usuário visita um site bancário. Desde o lançamento do código-fonte ZeuS em 2011, muitas outras variantes de malware adotaram partes de sua base de código, o que significa que os eventos classificados como ZeuS podem na verdade ser outro malware usando partes do código ZeuS.
7. Gh0st
Gh0st é um RAT usado para controlar endpoints infectados. O Gh0st é descartado por outro malware para criar um backdoor em um dispositivo que permite que um invasor controle totalmente o dispositivo infectado.
8. BitCoin Miner
BitCoin Miner é um minerador de criptomoedas que usa os recursos do seu computador para configurar blocos de bitcoin e encaminhá-los para um servidor remoto.
9. Ursnif
Ursnif, e sua variante Dreambot, são trojans bancários conhecidos por documentos como arma. Ursnif recentemente atualizou seus ataques de injeção na web para incluir retornos de chamada TLS, a fim de ofuscar contra software anti-malware. Ursnif coleta informações da vítima de páginas de login e formulários da web.
10. CryptoWall
CryptoWall é um ransomware comumente distribuído por meio de malspam com anexos ZIP maliciosos, vulnerabilidades de Java e anúncios maliciosos. Após a infecção bem-sucedida, o CryptoWall fará a varredura do sistema em busca de letras de unidade, compartilhamentos de rede e unidades removíveis. CryptoWall é executado em sistemas de 32 e 64 bits.