QakBot, SocGholish e Raspberry Robin são os três carregadores de malware mais populares entre os cibercriminosos, respondendo por 80% dos ataques observados, relata a empresa de segurança cibernética ReliaQuest.
De 1º de janeiro a 31 de julho de 2023, QakBot foi responsável por 30% do incidentes observadosSocGholish para 27% deles e Raspberry Robin para 23%.
Segundo a empresa, nem todos os incidentes observados resultaram em comprometimento da rede, pois o carregador foi detectado e parado antes que pudesse causar problemas.
Ativo desde 2009, o QakBot (QBot ou Quakbot) era inicialmente um trojan bancário, mas depois evoluiu para um carregador de malware que pode implantar cargas adicionais, roubar informações confidenciais e permitir movimentação lateral.
Normalmente entregue por meio de e-mails de phishing, o QakBot foi associado ao grupo de ransomware BlackBasta, que consiste em ex-membros da gangue de ransomware Conti.
“QakBot é uma ameaça persistente e em evolução usada para atingir de forma oportunista qualquer setor ou região. Seus operadores são capazes e engenhosos na adaptação às mudanças e provavelmente estarão aqui no futuro próximo”, observa ReliaQuest.
Ativo desde pelo menos 2018, o SocGholish (também conhecido como FakeUpdates) é implantado por meio de downloads drive-by, usando uma ampla rede de sites comprometidos que oferecem atualizações falsas.
O carregador está vinculado ao grupo de crimes cibernéticos Evil Corp, com sede na Rússia, que está ativo desde pelo menos 2007, e ao corretor de acesso inicial (IAB) conhecido como Exotic Lily.
Durante o primeiro semestre de 2023, os operadores do SocGholish foram observados conduzindo ataques agressivos de watering hole, aproveitando sites comprometidos de grandes organizações.
Um worm do Windows observado inicialmente em setembro de 2021, o Raspberry Robin se espalha principalmente por meio de dispositivos removíveis, como unidades USB, e tem sido vinculado a vários agentes de ameaças, incluindo Evil Corp e Silence.
Raspberry Robin foi observado implantando uma ampla gama de famílias de ransomware e malware, incluindo Cl0p, LockBit, TrueBot e outros, em ataques direcionados a instituições financeiras, organizações governamentais e empresas de telecomunicações e manufatura, principalmente na Europa.
Além desses três carregadores, Gootloader, Chromeloader, Guloader e Ursnif também estiveram altamente ativos durante os primeiros sete meses do ano, diz ReliaQuest.