Esquemas de Phishing relacionados com a Páscoa mantêm Emotet no topo de ameaças de março

Em março, 13% das organizações em Portugal foram impactadas pelo malware Emotet. Seguiu-se o Agent Tesla e o malware Mirai com um impacto de 5% e 3%, respetivamente

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, acaba de publicar o mais recente Índice Global de Ameaças referente a março de 2022. A equipa de investigadores da Check Point alerta para a continuação do Emotet no primeiro lugar da lista mundial, afetando 10% das organizações, o dobro do que era em Fevereiro. O ranking português segue a tendência, com o Emotet a impactar 13% das organizações portuguesas.

O Emotet é um trojan avançado, auto propagador e modular que utiliza múltiplos métodos para manter a persistência e técnicas de evasão para evitar a deteção. Desde o seu regresso em Novembro do ano passado e a recente notícia de que o Trickbot foi encerrado, o Emotet tem vindo a reforçar a sua posição como o malware mais prevalecente. Isto foi consolidado ainda mais este mês, uma vez que muitas campanhas de e-mail agressivas têm vindo a distribuir botnet, incluindo vários esquemas de phishing temáticos sobre a Páscoa, explorando o burburinho das festividades. Estes e-mails foram enviados a vítimas em todo o mundo. Um dos e-mails utilizava como assunto "Boa Páscoa, Happy Easter", mas anexado ao e-mail era um ficheiro XLS malicioso para implementar o Emotet.

Este mês, o agente Tesla, o avançado RAT que funciona como keylogger e rouba informação, é o segundo malware mais prevalecente no mundo, depois de aparecer em quarto lugar no índice do mês passado. O aumento do Agent Tesla deve-se a várias novas campanhas de mail-spam que distribuem o RAT através de ficheiros maliciosos xlsx/pdf em todo o mundo. Algumas destas campanhas têm aproveitado a guerra Rússia/Ucrânia para atrair as vítimas.

"A tecnologia avançou nos últimos anos de tal forma que os cibercriminosos estão cada vez mais a ter de depender da confiança humana para poderem passar por uma rede corporativa. Através dos seus e-mails de phishing em torno das férias sazonais como a Páscoa, são capazes de explorar o burburinho das festividades e atrair as vítimas para o download de anexos maliciosos que contêm malwares como o Emotet. No período que antecede o fim-de-semana da Páscoa, esperamos ver mais destes esquemas e instamos os utilizadores a prestarem muita atenção, mesmo que o e-mail pareça ser de uma fonte confiável. A Páscoa não é o único feriado público e os cibercriminosos continuarão a utilizar as mesmas táticas para infligir danos", disse Maya Horowitz, VP Research na Check Point Software. "Este mês observámos também que o Apache Log4j se tornou novamente o número um em vulnerabilidades mais exploradas. Mesmo depois de toda a conversa sobre esta vulnerabilidade no final do ano passado, ela ainda está a causar danos meses após a sua deteção inicial. As organizações precisam de tomar medidas imediatas para evitar a ocorrência de ataques".

A CPR revela este mês que a Saúde é o setor mais atacado em Portugal, seguido da Educação/Investigação e, em terceiro lugar, o setor Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações. A nível global, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar e do setor ISP/MSP.

A vulnerabilidade “Apache Log4j Remote Code Execution” é ainda a mais comumente explorada, com impacto global de 33% das organizações, seguida da “Web Server Exposed Git Repository Information Disclosure”, que impactou 26% das organizações do mundo. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, continua em terceiro com um impacto global de 26%.

Exemplos de emails de phishing enviados sobre a Páscoa

Famílias de malware mais prevalentes em março

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior

Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%.

Em Portugal, a lista é liderada pelo Emotet, com um impacto nacional de 13,08%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4,64% das organizações; e o Mirai, um infame malware que rastreia dispositivos IoT vulneráveis, com um impacto de 3,27%.

1. ↔ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↑ Agent Tesla - O Agent Tesla é um avançado RAT que funciona como keylogger e roubador de informação, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
3. ↑ Mirai – Mirai é um infame malware da Internet das coisas (IoT) que segue dispositivos IoT vulneráveis, tais como câmaras Web, modems e routers, e transforma-os em robots.

Indústrias mais atacadas em Portugal:

Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

1. Saúde
2. Educação/Investigação
3. Utilities

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, as Utilities.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. Utilities

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

1. Educação/Investigação
2. Administração Pública/Indústria Militar
3. ISP/MSP

Vulnerabilidades mais exploradas

Este mês, a “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 33% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 26% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 26%.

1. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo xHelper e pelo FluBot.

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.

FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.

A lista completa das 10 principais famílias de malware em Março pode ser encontrada no blog da Check Point.