Qbot já não é a principal família de malware a prejudicar as organizações portuguesas. Que ameaça ocupa agora o primeiro lugar?
· Em termos de setores, também houve alterações no primeiro lugar.
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível mundial, publicou o Índice Global de Ameaças relativo a setembro de 2023. Os investigadores relataram uma nova campanha de phishing furtivo dirigida a empresas colombianas, concebida para entregar discretamente o Trojan de Acesso Remoto (RAT) Remcos. Entretanto, o Formbook assumiu o primeiro lugar como o malware mais prevalente em termos mundiais após o colapso do Qbot, e a Educação continua a ser o setor mais visado, também em termos mundiais.
Em setembro, a Check Point Research descobriu uma campanha de phishing que visava mais de 40 empresas proeminentes em várias indústrias na Colômbia. O objetivo era instalar furtivamente o Remcos RAT nos computadores das vítimas. O Remcos, que foi o segundo malware mais prevalente em setembro, é um sofisticado "canivete suíço" RAT que concede controlo total sobre o computador infetado e pode ser utilizado numa variedade de ataques. As consequências mais comuns de uma infeção por Remcos incluem o roubo de dados, infeções subsequentes e o controlo de contas.
No mês passado, o Qbot também saiu completamente da lista dos principais malwares a nível mundial, depois de o FBI assumir o controle da botnet em agosto. Isso marca o fim de um longo período como o malware mais dominante, tendo liderado o gráfico durante a maior parte de 2023.
"A campanha que descobrimos na Colômbia oferece um vislumbre do sofisticado mundo das técnicas utilizadas pelos invasores. É também uma boa ilustração de como estas técnicas são invasivas e porque precisamos de empregar a resiliência cibernética para nos protegermos contra uma variedade de tipos de ataques", diz Maya Horowitz, VP Research da Check Point Software.
Em Portugal, o Qbot também saiu do primeiro lugar, depois de alguns meses de liderança. Em setembro de 2023, o malware mais dominante foi o Nanocore, um Remote Access Trojan que tem como alvo os utilizadores do sistema operativo Windows e descoberto pela primeira vez em 2013. Em termos de setores, também houve alterações no primeiro lugar: o setor das Finanças/Bancário foi a principal indústria atacada no mês passado.
A CPR também revelou que a "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais explorada no mês passado, afetando 47% das organizações a nível mundial, seguida da "Command Injection Over HTTP" com 42% e da "Zyxel ZyWALL Command Injection" com 39%.
Principais famílias de malware a nível mundial
*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.
O FormBook foi o malware mais dominante no mês passado, com um impacto de 3% nas organizações mundiais, seguido do Remcos, com um impacto global de 2% e do Emotet, com um impacto global de 2%.
1. ↑ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
2. ↑ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.
3. ↑ Emotet - O Emotet é um Trojan avançado e modular. O Emotet costumava ser utilizado como um Trojan bancário e, recentemente, tornou-se um distribuidor de outro malware ou campanhas maliciosas. Utiliza vários métodos para manter a persistência e técnicas de evasão para evitar a deteção. Além disso, pode ser espalhado através de e-mails de phishing spam contendo anexos ou links maliciosos.
Principais Famílias Malware em Portugal
Em Portugal, no mês de setembro, há nova liderança. O Nanocore é agora o malware mais dominante em Portugal, seguido do Formbook e do Remcos.
1. ↑ Nanocore – O NanoCore é um Remote Access Trojan que tem como alvo os utilizadores do sistema operativo Windows e descoberto pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas, controlo remoto do ambiente de trabalho e roubo de sessões de webcam.
2. ↑ FormBook - O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
3. ↑ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.
Principais indústrias atacadas a nível global
No mês passado, o setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Comunicações e do setor Administrações Públicas/Defesa.
1. Educação/Investigação
2. Comunicações
3. Administrações Públicas/Defesa
Principais indústrias atacadas em Portugal
Em Portugal, o setor mais atacado em setembro de 2023 foi o setor das Finanças/Bancário. seguido do setor das Comunicações em segundo lugar, e do setor do Retalho, que ocupa o último lugar do pódio.
1. Finanças/Bancário
2. Comunicações
3. Retalho
Principais vulnerabilidades exploradas
No mês passado, a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 47% das organizações a nível mundial, seguida da "Command Injection Over HTTP" com 42% e da "Zyxel ZyWALL Command Injection" com 39%.
1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URL para os padrões de passagem de diretórios. Uma exploração bem sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
2. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Foi comunicada uma vulnerabilidade de injeção de comandos sobre HTTP. Um atacante remoto pode explorar este problema enviando um pedido especialmente criado para a vítima. Uma exploração bem sucedida permitiria a um atacante executar código arbitrário na máquina-alvo.
3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Existe uma vulnerabilidade de injeção de comandos no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que invasores remotos executassem comandos arbitrários do sistema operacional no sistema afetado.
Top Mobile Malwares
No mês passado, o Anubis manteve-se no primeiro lugar como o malware móvel mais dominante, seguido do AhMyth e do SpinOk.
1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
3. SpinOk - O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e é capaz de as transferir para agentes de ameaças maliciosas. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421 000 000 vezes até 23 de maio.
O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
Post A Comment:
0 comments: