Portugal segue tendência mundial: Qbot é o malware predominante em Março de 2023

A Check Point publicou o mais recente Índice Global de Ameaças, referente a Março de 2023. Os dados mostram que, tanto a nível mundial como em Portugal, o malware Qbot, desenhado para roubar credenciais bancárias, foi o que mais afetou as empresas. Também no mês passado, os investigadores descobriram uma nova campanha de malware para o Emotet Trojan, que se tornou o segundo malware mais predominante de Março a nível mundial.

Como noticiado no início de 2023, os atacantes do Emotet têm vindo a explorar formas alternativas de distribuir ficheiros maliciosos desde que a Microsoft anunciou que irá bloquear macros de ficheiros de escritório. Na última campanha, os atacantes adotaram uma nova estratégia de envio de emails de spam contendo um ficheiro OneNote malicioso. Uma vez aberto o email, uma mensagem falsa aparece para enganar a vítima e fazer com que esta clique no documento, o qual descarrega a infeção Emotet. Depois de instalado, o malware pode recolher dados de correio eletrónico do utilizador, tais como credenciais de login e informações de contacto. Os atacantes utilizam então a informação recolhida para expandir o alcance da campanha e facilitar futuros ataques.

“Embora as grandes empresas tecnológicas façam o seu melhor para eliminar os ataques o mais cedo possível, é quase impossível impedir que todos os ataques contornem as medidas de segurança. Sabemos que o Emotet é um Trojan sofisticado e não é de surpreender que tenha conseguido navegar pelas mais recentes defesas da Microsoft. O mais importante a fazer é certificar-se de que tem instalada uma segurança apropriada para o e-mail, evitar descarregar quaisquer ficheiros inesperados e adotar ceticismo acerca das origens de um e-mail e do seu conteúdo”, diz Maya Horowitz, VP Research na Check Point Software.

A CPR também revelou que o “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto de 44% nas organizações a nível mundial, seguido do “HTTP Headers Remote Code Execution” com um impacto em 43% das organizações a nível mundial. A ocupar o terceiro lugar está o “MVPower DVR Remote Code Execution”, com um impacto global de 40%.

Principais famílias de malware a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O Qbot foi o malware mais dominante no mês passado, com um impacto de mais de 10% em organizações mundiais, seguido pelo Emotet e pelo Formbook, com um impacto global de 4%.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
   
2. ↑ Emotet – O Emolet é um Trojan avançado, auto-propagador e modular. Já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
   
3. ↓ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Principais Famílias Malware em Portugal

Em Portugal, o Qbot continua a ocupar a posição de líder, seguido pelo agente Tesla, que manteve a sua posição a nível regional, de acordo com o relatório do mês de Março. O Formbook, que no mês passado ocupava o terceiro lugar, foi destronado para quarto lugar, superado pelo XMRig.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção
   
2. ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
   
3. ↑ XMRig – O XMRig é um software CPU de código aberto utilizado para extrair a criptomoeda Monero. Os atores da ameaça abusam frequentemente deste software de código aberto, integrando-o no seu malware, para conduzir este processo ilegal nos dispositivos das vítimas.

Principais indústrias atacadas a nível global

No mês passado, o setor Educação/Investigação continuou a ser o mais atacado a nível mundial, seguida pelo da Administração/Defesa e depois pelos Cuidados de Saúde. Este Top 3 permanece igual ao do mês de fevereiro.

1. Educação/Investigação
2. Administração Pública/Defesa
3. Cuidados de Saúde

Principais indústrias atacadas em Portugal

Em Portugal, o setor mais atacado em Março de 2023 foi o das Comunicações, mas a segunda e terceira posições são iguais ao Top Mundial, com o setor da Administração Pública/Defesa e o setor dos Cuidados de Saúde.

1. Comunicações
2. Administração Pública/Defesa
3. Cuidados de Saúde

Principais vulnerabilidades exploradas

No mês passado, o “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto de 44% das organizações a nível mundial, seguido do “HTTP Headers Remote Code Execution”, com 43% das organizações a nível mundial impactadas e, por fim, o “MVPower DVR Remote Code Execution”, com um impacto global de 40%.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.
   
2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima.
   
3. ↑ MVPower DVR Remote Code Execution – Existe uma vulnerabilidade de execução de código remoto nos dispositivos MVPower DVR. Um atacante remoto pode explorar esta fraqueza para executar código arbitrário no router afetado através de um pedido.

Top Mobile Malwares

No mês passado, o Ahmyth passou para primeiro lugar como o mobile malware mais predominante, seguido pelo Anubis e pelo Hiddad.

1. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
   
2. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
   
3. Hiddad – O Hiddad é um malware Android que condiciona aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.

Nota: Índice Global de Ameaças da Check Point e o seu Mapa ThreatCloud é produzido pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaça em tempo real proveniente de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em Inteligência Artificial e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.