Há nova liderança na principal família de malware a prejudicar as organizações portuguesas

Há nova liderança na principal família de malware a prejudicar as organizações portuguesas

· Em termos de setores, o mais afetado em Portugal foi o setor dos Cuidados de Saúde.

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível mundial, publicou o Índice Global de Ameaças relativamente a outubro de 2023. No mês passado, o Remote Access Trojan (RAT) NJRat, que é conhecido por visar agências governamentais e organizações em todo o Médio Oriente, subiu quatro lugares do sexto para o segundo lugar no ranking global. Entretanto, os investigadores relataram uma nova campanha de mal-spam que envolveu o avançado RAT AgentTesla. O setor da Educação continuou a ser o mais visado.

No mês passado, o AgentTesla foi distribuído através de ficheiros de arquivo que continham uma extensão maliciosa Microsoft Compiled HTML Help (.CHM). Os ficheiros eram entregues por correio eletrónico como anexos .GZ ou .zip, utilizando nomes relacionados com encomendas e envios recentes, tais como - po-######.gz/shipping documents.gz, concebidos para induzir os alvos a descarregar o malware. Uma vez instalado, o AgentTesla é capaz de fazer keylogging, capturar dados da área de transferência, obter acesso ao sistema de ficheiros e transferir discretamente os dados roubados para um servidor de Comando e Controlo (C&C).

"Não nos podemos dar ao luxo de ignorar as táticas que os hackers utilizam para distribuir malware, tais como fazer-se passar por marcas conhecidas ou enviar ficheiros maliciosos por correio eletrónico", diz Maya Horowitz, VP de Investigação da Check Point Software. "À medida que entramos na época de compras movimentada em novembro, é importante permanecer vigilante e lembrar que os cibercriminosos estão a explorar ativamente o nosso interesse acrescido em compras e envios online."

Em Portugal, em outubro de 2023, o malware mais dominante foi o Remcos, que prejudicou 2,57% das organizações portuguesas. É um RAT que apareceu pela primeira vez em 2016. Em termos de setores, também houve alterações no primeiro lugar: o setor das Finanças/Bancário foi a principal indústria atacada no mês passado.

A CPR também revelou que a "Zyxel ZyWALL Command Injection (CVE-2023-28771)" foi a vulnerabilidade mais explorada, afetando 42% das organizações a nível mundial, seguida da "Command Injection Over HTTP", que afeta 42% das organizações a nível mundial. A "Web Servers Malicious URL Directory Traversal" foi a terceira vulnerabilidade mais utilizada, com um impacto global de 42%.

Principais famílias de malware a nível mundial  

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O FormBook foi o malware mais dominante no mês passado, com um impacto de 3% nas organizações mundiais, seguido do NJRat, com um impacto global de 2% e do Remcos, com um impacto global de 2%.

1. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

2. ↑ NJRat – O NJRat é um Trojan de acesso remoto que visa principalmente agências governamentais e organizações do Médio Oriente. O Trojan surgiu pela primeira vez em 2012 e tem múltiplas capacidades: captura de teclas, acesso à câmara da vítima, roubo de credenciais armazenadas em browsers, carregamento e descarregamento de ficheiros, manipulação de processos e ficheiros e visualização do ambiente de trabalho da vítima. O NJRat infeta as vítimas através de ataques de phishing e downloads drive-by, e propaga-se através de chaves USB infetadas ou unidades de rede, com o apoio do software de servidor Command & Control.

3. ↓ Remcos - Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

Principais Famílias Malware em Portugal

Em Portugal, no mês de outubro, volta a haver nova liderança. O Remcos é agora o malware mais dominante, seguido do NJRat e do FormBook.

1. ↑ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

2. ↑ NJRat - O NJRat é um Trojan de acesso remoto que visa principalmente agências governamentais e organizações do Médio Oriente. O Trojan surgiu pela primeira vez em 2012 e tem múltiplas capacidades: captura de teclas, acesso à câmara da vítima, roubo de credenciais armazenadas em browsers, carregamento e descarregamento de ficheiros, manipulação de processos e ficheiros e visualização do ambiente de trabalho da vítima. O NJRat infeta as vítimas através de ataques de phishing e downloads drive-by, e propaga-se através de chaves USB infetadas ou unidades de rede, com o apoio do software de servidor Command & Control.

3. ↓ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Principais indústrias atacadas a nível global  

No mês passado, o pódio de indústrias ficou inalterado. O setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Telecomunicações e do setor Administração Pública/Defesa.

1. Educação/Investigação

2. Telecomunicações

3. Administração Pública/Defesa

Principais indústrias atacadas em Portugal  

Em Portugal, o setor mais atacado em outubro de 2023 foi o setor dos Cuidados de Saúde, seguido do setor das Telecomunicações em segundo lugar, e do setor das Utilities, que ocupa o último lugar do pódio. 

1. Cuidados de Saúde

2. Telecomunicações

3. Utilities

Principais vulnerabilidades exploradas

No mês passado, a "Zyxel ZyWALL Command Injection (CVE-2023-28771)" foi a vulnerabilidade mais explorada, afetando 42% das organizações a nível mundial, seguida da "Command Injection Over HTTP", que afeta 42% das organizações a nível mundial. A "Web Servers Malicious URL Directory Traversal" foi a terceira vulnerabilidade mais utilizada, com um impacto global de 42%.

1. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Existe uma vulnerabilidade de injeção de comandos no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que invasores remotos executassem comandos arbitrários do sistema operacional no sistema afetado.

2. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) - Foi comunicada uma vulnerabilidade de injeção de comandos sobre HTTP. Um atacante remoto pode explorar este problema enviando um pedido especialmente criado para a vítima. Uma exploração bem-sucedida permitiria a um atacante executar código arbitrário na máquina-alvo.

3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URL para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.

Top Mobile Malwares

No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel dominante, seguido do AhMyth e do Hiddad.

1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.

2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.

3. Hiddad - O Hiddad é um malware para Android que rúne aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é apresentar anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operativo.

O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies. 

A lista completa das dez principais famílias de malware em outubro pode ser consultada no blogue da Check Point.