Relatório global da Check Point Research indica que o infostealer Vidar entrou na lista dos 10 malwares mais ativados após uma falsa campanha Zoom. É também o malware que prevalece em Portugal.
A Check Point Research (CPR) acaba de lançar o report Top Malware do mês de setembro, concluído que, no caso de Portugal, os setores mais atacados são os da Saúde, Utilities e Educação/Investigação. O malware prevalente foi o Vidar, que afetou 13,2% das organizações portuguesas.
A nível global, a CPR assinala que enquanto o Formbook permanece como o malware mais prevalente, com impacto em 3% das organizações em todo o mundo, o Vidar está agora na oitava posição, com sete lugares acima em relação a agosto.
O Vidar é um infostealer concebido para dar aos autores das ameaças acesso de backdoor, permitindo-lhes roubar informação bancária sensível, credenciais de login, endereços IP, histórico do browser e contas de criptomoedas a partir de dispositivos infetados. O aumento da sua prevalência deve-se a uma campanha maliciosa em que falsos websites Zoom, tais como zoomus[.]website and zoom-download[.]espaço, foram utilizados para atrair utilizadores inocentes para efetuar o download do malware.
Rússia e Ucrânia alvos preferenciais
Desde o início da guerra entre a Rússia e a Ucrânia, a CPR tem continuado a acompanhar o impacto dos ciberataques em ambos os países. Enquanto o conflito se intensifica, o Índice Global de Ameaças da CPR para setembro registou uma mudança significativa no “grau de ameaça” de muitos países da Europa de Leste.
O grau de ameaça representa o quanto uma organização está a ser atacada num país específico em comparação com o resto do mundo. Durante o mês de setembro, a Ucrânia tinha saltado 26 lugares, a Polónia e a Rússia subiram 18 lugares cada, e tanto a Lituânia como a Roménia subiram 17 lugares, entre outros.
Todos estes países estão agora entre os 25 primeiros, tendo a maior degradação na sua classificação ocorrido no mês passado. Já Portugal subiu 30 lugares nesta lista, passando do lugar 77 para o lugar 47.
“Tal como a guerra no terreno continua, o mesmo acontece com a guerra no ciberespaço. Não é provavelmente coincidência que as categorias das ameaças de muitos países da Europa Oriental tenham aumentado neste último mês. Todas as organizações estão em risco e devem mudar para uma estratégia de segurança cibernética preventiva antes que seja tarde demais”, comentou Maya Horowitz, VP Research na Check Point. “Em termos dos malwares mais prevalentes em setembro, é interessante ver o Vidar saltar para o top dez após uma longa ausência. Os utilizadores do Zoom necessitam de ficar atentos a ligações fraudulentas, pois é assim que o malware Vidar tem sido distribuído ultimamente. Esteja sempre atento a inconsistências ou palavras mal soletradas no URL. Se parecer suspeito, provavelmente é”.
A CPR também revelou que o “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações a nível mundial, seguida de perto pelo “Apache Log4j Remote Code Execution” que caiu de primeiro para segundo, com um impacto de 42%. Setembro também viu a Educação/Pesquisa permanecer em primeiro lugar como a indústria mais atacada a nível mundial.
Principais Famílias Malware em Portugal
*As setas estão relacionadas com a mudança de classificação em relação ao mês anterior.
Portugal fugiu à tendência mundial com o Vidar, quefoi o malware mais difundido este mês, com um impacto de 13,2% nas organizações nacionais, seguido pelo Formbook e do NanoCore com 5,25% e 3,66% respetivamente.
- ↑ Vidar – O Vidar é um infostealer que tem como alvo os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. O Vidar é vendido em vários fóruns online e utilizado como um conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária.
- ↔ Formbook – Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↑ NanoCore – O NanoCore é um Trojan de Acesso Remoto que tem como alvo os utilizadores do sistema operativo Windows, foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas tais como captura de ecrã, extração de criptomoedas, controlo remoto do desktop e furto de sessão de webcam.
Principais famílias a nível Mundial
- ↔Formbook – Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↑ XMRig –O XMRig é um open-source CPU software utilizado para a mineração da criptomoeda Monero. Os autores das ameaças abusam frequentemente deste software open-source, integrando-o no seu malware, para conduzirem a mineração ilegal nos dispositivos das vítimas.
- ↓ AgentTesla- O AgentTesla é um RAT avançado que funciona como keylogger e password stealer que se encontra ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e capturar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.