Malware Formbook afetou 7% das organizações em Portugal

Capaz de recolher credenciais, registar teclas e executar ficheiros maliciosos, o infostealer Formbook foi o malware mais prevalente no mês de agosto em Portugal e no mundo

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, acaba de publicar o Índice Global de Ameaças referente a agosto de 2021. O Formbook é agora o malware mais prevalente, tanto em Portugal, como no mundo, ultrapassando o Trickbot que, a nível global, termina um “reinado” de três meses. Em Portugal, 7% das organizações foram impactadas pelo Formbook durante o mês de agosto.

O trojan bancário, Qbot, cujos operadores são conhecidos por fazer pausas de atividade durante o verão, abandonou o top 10 de ameaças, depois de uma longa estadia na lista; já o Remcos, um trojan de acesso remoto (RAT), integra o índice pela primeira vez em 2021, ocupando o sexto lugar.

Identificado em 2016, o Formbook é um infostealer que recolhe credenciais de vários browsers, capturas de ecrã, monitoriza e regista teclas, podendo também fazer download e executar ficheiros de acordo com comandos C&C. Recentemente, o Formbook foi distribuído via campanhas relacionadas com a COVID-19, bem como e-mails de phishing e, em julho de 2021, a Check Point Research reportou uma nova corrente de malware derivada do Formbook, o XLoader, agora visando utilizadores de macOS.

“O código do Formbook é escrito em C com inserções de montagem e contém uma série de truques que o tornam mais evasivo e mais difícil de analisar pelos investigadores", disse Maya Horowitz, VP Research at Check Point Software. "Como é normalmente distribuído através de e-mails e anexos de phishing, a melhor forma de prevenir a infeção pelo Formbook é manter-se atento a quaisquer e-mails que pareçam estranhos ou que provenham de remetentes desconhecidos. Como sempre, se não parecer seguro, provavelmente não é".

A CPR revelou ainda que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada este mês, com um impacto de 45% das organizações no mundo. Seguiu-se a “HTTP Headers Remote Code Execution”, responsável por impactar 43% das organizações a nível global. Em terceiro lugar, a “Dasan GPON Router Authentication Bypass”, vulnerabilidade com um impacto global de 40%.

Top de famílias malware de agosto

*As setas estão relacionadas com as mudanças de posição no ranking comparativamente com o mês anterior

Este mês, o Formbook foi o malware mais popular, com um impacto em 4.5% das organizações a nível mundial. Seguiram-se o Trickbot e Agent Tesla, com um impacto de 4% e 3% cada.

Em Portugal, o Formbook mantém a sua prevalência, com um impacto de 7%. Em segundo lugar, destaca-se o XMRig, software de mining CPU em open-source responsável por impactar 5% das organizações portuguesas. Seguiu-se o Agent Tesla, também com um impacto de 5%.

1.  ↑ Formbook - Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.
2.  ↓ Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3.  ↑ Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecrã, e extrair credenciais de diversos softwares instalados no dispositivo da vítima, incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook.

Top de vulnerabilidades exploradas

Em agosto, o “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com um impacto global de 45% das organizações, seguido do “HTTP Headers Remote Code Execution (CVE-2020-13756)”, responsável por impactar 43% das organizações a nível mundial. A vulnerabilidade “Dasan GPON Router Authentication Bypass” ocupa o terceiro lugal, com um impacto global de 40%.

1. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
2.  ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.
3.  ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em routers Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.

Top malware para dispositivos móveis

Este mês, o primeiro lugar é ocupado pelo xHelper. Segue-se o AlienBot e o Flubot.

1. xHelper – É uma aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, em que é usada para descarregar aplicações maliciosas e exibir anúncios fraudulentos. A aplicação é capaz de se esconder dos programas de antivírus móveis e do utilizador, sendo capaz de se reinstalar no caso do utilizador o desinstalar.
2. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing, que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.

A lista completa das 10 principais famílias de malware de agosto pode ser encontrada no Blog da Check Point.