O Malware Mais Procurado de Fevereiro de 2023: Remcos Trojan ligado a operações de ciberespionagem contra o governo ucraniano
Investigadores relatam que o Remcos Trojan foi utilizado por agentes de ameaça para atingir entidades governamentais ucranianas através de ataques de phishing como parte de operações de ciberespionagem mais vastas. Entretanto, Formbook e Emotet regressaram às três famílias de malware mais prevalecentes, e Educação/Investigação continuou a ser a indústria mais visada
Check Point Research, área de Threat Intelligence da
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu Índice Global de Ameaças para Fevereiro de 2023. No mês passado, o Troiano Remcos regressou à lista dos dez melhores pela primeira vez desde Dezembro de 2022, depois de ter sido reportado que estava a ser utilizado por agentes ameaçadores para atingir entidades governamentais ucranianas através de ataques de phishing. Entretanto, o Emotet Trojan e o Formbook Infostealer subiram no ranking ocupando o segundo e terceiro lugares respetivamente, enquanto a Educação/Investigação continuava a ser a indústria mais visada.
Apesar dos investigadores terem identificado uma diminuição de 44% no número médio de ataques semanais por organização entre Outubro de 2022 e Fevereiro de 2023, a Ucrânia continua a ser um alvo popular para os cibercriminosos, na sequência da invasão russa. Na campanha mais recente, os atacantes imitaram a Ukrtelecom JSC numa distribuição maciça de correio eletrónico, utilizando um anexo RAR malicioso para espalhar o Trojan Remcos, que voltou à lista de malware de topo pela primeira vez desde Outubro de 2022. Uma vez instalada, a ferramenta abre uma porta traseira no sistema comprometido, permitindo o acesso total ao utilizador remoto para atividades tais como a filtragem de dados e execução de comandos. Acredita-se que os ataques em curso estejam ligados a operações de ciberespionagem devido aos padrões de comportamento e capacidades ofensivas dos incidentes.
"Embora tenha havido uma diminuição do número de ataques por motivos políticos à Ucrânia, estes continuam a ser um campo de batalha para os cibercriminosos. O hacktivismo tem estado tipicamente no topo da agenda dos atores da ameaça desde que a guerra russo-ucraniana começou e a maioria tem favorecido métodos de ataque perturbadores como o DDoS para obter a maior publicidade. Contudo, a última campanha utilizou uma rota de ataque mais tradicional, utilizando esquemas de phishing para obter informações dos utilizadores e extrair dados. É importante que todas as organizações e organismos governamentais sigam práticas de segurança seguras ao receberem e abrirem emails. Não descarregar anexos sem primeiro digitalizar as propriedades. Evite clicar em ligações dentro do corpo do e-mail e verifique o endereço do remetente para detetar quaisquer anomalias tais como caracteres adicionais ou erros ortográficos", disse Maya Horowitz, VP Research da Check Point Software.
A CPR também revelou que "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais explorada, com impacto em 47% das organizações a nível mundial. Seguiu-se o "Web Server Exposed Git Repository Information Disclosure", que teve impacto em 46% das organizações a nível mundial, enquanto o "Apache Log4j Remote Code Execution" é a terceira vulnerabilidade mais utilizada, com um impacto global de 45%.
As principais famílias de malware
*As setas estão relacionadas com a mudança de classificação em relação ao mês anterior.
O Qbot foi o malware mais predominante no mês passado com um impacto de mais de 7% em organizações mundiais respectivamente, seguido por Formbook com 5% e Emotet com 4%.
1. ↔ Qbot - Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais bancárias ou teclas de um utilizador e é frequentemente distribuído através de emails de spam. O Qbot emprega várias técnicas anti-VM, anti-debugging e anti-sandbox para dificultar a análise e evitar a detecção.
2. ↑ FormBook - FormBook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
3. ↑ Emotet - O Emotet é um Trojan avançado, auto-propagador e modular. O Emotet costumava ser utilizado como um Trojan bancário mas tem sido recentemente utilizado como distribuidor de outro malware ou campanhas maliciosas. Utiliza múltiplos métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, pode ser difundido através de e-mails de phishing spam contendo anexos ou ligações maliciosas.
Principais Famílias Malware em Portugal
Em Portugal, Quilbot continua a ocupar a posição de líder, seguido pelo agente Tesla, que manteve a sua posição a nível regional, de acordo com a tendência global e o relatório do mês de Janeiro. O terceiro lugar na lista dos principais malwares foi Formbook.
1. ↔Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção
2. ↔ AgentTesla – AgentTesla é um RAT avançado que funciona como keylogger e roubador de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
3. ↑ FormBook - FormBook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
Principais indústrias atacadas a nível mundial
No mês passado, a Educação/Investigação continuou a ser a indústria mais atacada a nível mundial, seguida pelo Administração Pública /Militar e depois pela Saúde.
1. Educação/Investigação
2. Administração Pública/Militar
3. Saúde
Principais indústrias atacadas em Portugal
Em Portugal o setor da Saúde foi o mais atacado no mês de Fevereiro, seguido pelo setor das Finanças/Bancos e por fim o setor de Educação/Investigação (que se mantém à semelhança do mês de Janeiro)
1. Saúde
2. Finanças/Bancos
3. Educação/Investigação
Principais vulnerabilidades exploradas
No mês passado, "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais explorada, com impacto em 47% das organizações a nível mundial. Seguiu-se o "Web Server Exposed Git Repository Information Disclosure", que teve impacto em 46% das organizações a nível mundial, enquanto o "Apache Log4j Remote Code Execution" é a terceira vulnerabilidade mais utilizada, com um impacto global de 45%.
1. ↑ Web Servers Malicious URL Directory Traversal - Existe uma vulnerabilidade de atravessamento de directório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URI para os padrões de travessia de directório. A exploração bem sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
2. ↓ Web Server Exposed Git Repository Information Disclosure - Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta.
3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. A exploração bem sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse um código arbitrário no sistema afectado.
Top Malwares móveis
No mês passado, Anubis continuou a ser o malware móvel mais prevalecente, seguido por Hiddad e AhMyth.
1. Anubis - Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
2. Hiddad - Hiddad é um malware Android que reembala aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
3. AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar fotografias de ecrã, enviar mensagens SMS, e ativar a câmara.
O Índice de Impacto Global de Ameaças da Check Point e o seu Mapa ThreatCloud é alimentado pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
