QBot: Malware é novamentelíder no mês de agosto em Portugal

QBot: Malware é novamentelíder no mês de agosto em Portugal

· O QBot afetou cerca de 8,26% das empresas portuguesas em agosto.

· Setor dos Cuidados de Saúde foi o mais afetado por malware no mês passado em território nacional.

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível mundial, publicou o seu Índice Global de Ameaças relativo a agosto de 2023. Os investigadores reportarem uma nova variante do malware ChromeLoader, que tem visado os utilizadores do navegador Chrome com anúncios falsos carregados com extensões maliciosas. Entretanto, o setor das comunicações foi classificado como o segundo setor mais afetado a nível mundial, retirando os cuidados de saúde da lista pela primeira vez este ano.

O ChromeLoader é um sequestrador persistente do navegador Google Chrome, descoberto pela primeira vez em 2022. Classificado em 10º lugar na lista das principais famílias de malware do mês passado, foi concebido para instalar secretamente extensões maliciosas através de publicidade falsa nos navegadores Web. No caso da campanha "Shampoo", as vítimas são induzidas a executar ficheiros VBScript que instalam extensões maliciosas do Chrome. Uma vez instaladas, podem recolher dados pessoais e perturbar a navegação com anúncios indesejados.

Em agosto, o FBI anunciou uma vitória significativa na sua operação global contra o Qbot (também conhecido como Qakbot). Na "Operação Duck Hunt", o FBI assumiu o controlo da rede de bots, removeu o malware dos dispositivos infetados e identificou um número substancial de dispositivos afetados. O Qbot evoluiu para um serviço de distribuição de malware utilizado para várias atividades cibercriminosas, incluindo ataques de ransomware. Normalmente, espalha-se através de campanhas de phishing e colabora com outros agentes de ameaças. Embora tenha continuado a ser o malware mais prevalente em agosto, o CPR observou uma diminuição significativa do seu impacto após a operação.

No mês passado, o setor das comunicações também ficou em segundo lugar como um dos setores mais afetados a nível mundial, ultrapassando pela primeira vez os cuidados de saúde em 2023. Este ano, houve vários exemplos de organizações do setor que enfrentaram ciberataques. Em março, o grupo de ciberespionagem APT41, patrocinado pelo Estado chinês, foi observado a visar o setor das telecomunicações no Médio Oriente. Os agentes da ameaça infiltraram-se em servidores Microsoft Exchange com acesso à Internet para executar comandos, efetuar reconhecimento, roubar credenciais e realizar movimentos laterais e atividades de extração de dados.

A queda do QBot foi um avanço significativo na luta contra o cibercrime. No entanto, não nos podemos tornar complacentes porque quando um cai, outro acaba por se erguer para ocupar o seu lugar. Devemo-nos permanecer atentos às ameaças, trabalhar em conjunto e continuar a praticar uma boa higiene de segurança em todos os vetores de ataque.

O CPR revelou ainda que a "Execução de Código Remoto de Cabeçalhos HTTP" foi a vulnerabilidade mais explorada, afetando 40% das organizações a nível mundial, seguida da "Injeção de Comando sobre HTTP", que afetou 38% das organizações a nível mundial. A "MVPower CCTV DVR Remote Code Execution" ficou em terceiro lugar, com um impacto global de 35%.

Principais famílias de malware a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O Qbot foi o malware mais prevalente no mês passado, com um impacto de 5% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Fakeupdates, com um impacto global de 3%.

1. ↔ Qbot - O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.

2. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

3. ↑ Fakeupdates - Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava os payloads no disco antes de lançá-los. O Fakeupdates levou a um maior comprometimento de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

Principais Famílias Malware em Portugal

Em Portugal, no mês de agosto, o Qbot permaneceu na liderança, seguido pelo Fakeupdates que subiu de posição e, em terceiro lugar, o FromBook que desceu uma posição.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.

2. ↑ Fakeupdates - (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O Fakeupdates levou a um maior comprometimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

3. ↓ FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Principais indústrias atacadas a nível global

No mês passado, o setor da Educação/Investigação manteve-se em primeiro lugar como o mais explorado a nível mundial, seguido do setor das Comunicações e Administrações Públicas/Defesa.

1. Educação/Investigação

2. Comunicações

3. Administrações Públicas/Defesa

Principais indústrias atacadas em Portugal

Em Portugal, o setor mais atacado em agosto de 2023 foi o das Cuidados de Saúde seguido do setor do Utilities, em segundo lugar, e do setor das Comunicações, que ocupa o último lugar do pódio.

1. Cuidados de Saúde

2. Utilities

3. Comunicações

Principais vulnerabilidades exploradas

No mês passado, a "Execução Remota de Código em Cabeçalhos HTTP" foi a vulnerabilidade mais explorada, impactando 40% das organizações em todo o mundo, seguida pela "Injeção de Comando sobre HTTP", que impactou 38% das organizações em todo o mundo. A "Execução remota de código do DVR MVPower CCTV" foi a terceira vulnerabilidade mais utilizada, com um impacto global de 35%.

1. ↑ Execução de código remoto de cabeçalhos HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com um pedido HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.

2. ↑ Injeção de comando sobre HTTP (CVE-2021-43936, CVE-2022-24086) - Foi relatada uma vulnerabilidade de injeção de comando sobre HTTP. Um atacante remoto pode explorar esse problema enviando uma solicitação especialmente elaborada para a vítima. Uma exploração bem sucedida permitiria a um atacante executar código arbitrário na máquina alvo.

3. ↔ MVPower CCTV DVR Remote Code Execution (CVE-2016-20016)- Existe uma vulnerabilidade de execução remota de código no MVPower CCTV DVR. A exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.

Top Mobile Malwares

No mês passado, o Anubis ocupou o primeiro lugar do malware móvel mais dominante, seguido do AhMyth e do SpinOk.

1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.

2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.

3. SpinOk - O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e é capaz de as transferir para agentes de ameaças maliciosas. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421 000 000 vezes até 23 de maio.

O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.