31% das empresas portuguesas impactadas pelo Trojan Emotet em junho

 31% das empresas portuguesas impactadas pelo Trojan Emotet em junho

A Check Point alerta ainda para surgimento de novo malware que tem como alvo utilizadores do online banking

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder mundial de soluções de segurança cibernética, acaba de publicar o mais recente Índice Global de Ameaças de junho de 2022. Entre as principais conclusões, destaca-se um novo malware de banking, Malibot, que surge no seguimento do derrube do FluBot no final de maio. A CPR alerta ainda para as 31% empresas que em Portugal foram impactadas pelo trojan Emotet, que também a nível global se mantém o mais perigoso.

Embora descoberto recentemente, o MaliBot, um malware bancário, já alcançou o terceiro lugar na lista de malware móvel mais prevalecentes. Disfarça-se de aplicações de mineração de criptomoeda sob diferentes nomes e dirige-se a utilizadores de serviços bancários móveis para roubar informação financeira. Semelhante ao FluBot, o MaliBot utiliza mensagens SMS de phishing (smishing) para atrair as vítimas a clicar num link malicioso que as redireciona para o download de uma aplicação falsa contendo o malware.

Também este mês, o notório malware, Emotet, é ainda a ameaça mais prevalecente em geral. O Snake Keylogger vem em terceiro lugar após um aumento de atividade desde que apareceu em oitavo lugar no mês passado. A principal funcionalidade do Snake é gravar as teclas dos utilizadores e transmitir os dados recolhidos aos agentes da ameaça. Apesar de em maio a CPR ter observado o Snake Keylogger a ser disseminado via ficheiros PDF, recentemente foi difundido através de e-mails contendo anexos de Word marcados como pedidos de cotações. Os investigadores alerta ainda para a nova variante do Emotet em junho que tem capacidades de roubo de cartões de crédito e tem como alvo os utilizadores do navegador Chrome.

"Embora seja sempre bom ver a aplicação da lei ser bem-sucedida no derrube de grupos de cibercrime ou malware como o FluBot, infelizmente não demorou muito para que um novo malware móvel tomasse o seu lugar", afirma Maya Horowitz, VP Research na Check Point Software. "Os cibercriminosos estão bem conscientes do papel central que os dispositivos móveis desempenham na vida de muitas pessoas e estão sempre a adaptar e a melhorar as suas táticas para corresponder. O cenário de ameaças está a evoluir rapidamente, e o malware móvel é um perigo significativo tanto para a segurança pessoal como empresarial. Nunca foi tão importante dispor de uma solução robusta de prevenção de ameaças móveis".

A CPR revela também que o "Apache Log4j Remote Code Execution" é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações em todo o mundo, seguido de perto pelo "Web Server Exposed Git Repository Information Disclosure", que tem um impacto global de 42,3%. O "Web Servers Malicious URL Directory Traversal" está em terceiro lugar, com um impacto global de 42,1%.

Indústrias mais atacadas em Portugal:

Este mês, o setor Educação/Investigação foi o mais atacado em Portugal, seguido pela Saúde e, em terceiro, as Utilities.

1. Educação\Investigação
2. Saúde
3. Utilities

Famílias de malware mais prevalentes em junho
*As setas estão relacionadas com a mudança de classificação em relação ao mês anterior.

Este mês, o Emotet é ainda o malware mais popular com um impacto global de 14%, seguido pelo Formbook e Snake Keylogger, cada um com impato em 4,4% das organizações a nível mundial. Portugal seguiu a tendência global, apresentando, contudo, um impacto mais significativo, com 31% das organizações portuguesas impactadas pelo trojan Emotet em junho. Em segundo lugar, o Formbook, com um impacto de 9%. Seguiu-se o Snake Keylogger, responsável por impactar 6% das organizações nacionais.

1. ↔ Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
2. ↔ Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C.
3. ↑ Snake Keylogger – Trojan bancário identificado pela primeira vez em 2008. Concebido para roubar credenciais bancárias e registo de teclas. Distribuído frequentemente via e-mail, o Qbot utiliza várias técnicas anti-VM, anti-debugging e anti-sandbox para escapar à análise e deteção.

A lista completa das dez principais famílias de malware em Julho pode ser encontrada no blog da Check Point.

Indústrias mais atacadas em Portugal:

Este mês, o setor Educação/Investigação foi o mais atacado em Portugal, seguido pela Saúde e, em terceiro, as Administração Pública/Setor Militar.

1. Educação/Investigação
2. Saúde
3. Administração Pública/Setor Militar

Indústrias mais atacadas no mundo

Este mês a Educação/Pesquisa é ainda a indústria mais atacada a nível mundial, seguida da Saúde e da Administração Pública/Setor Militar.

1. Educação/Investigação
2. Administração Pública/Setor Militar
3. Utilities

Vulnerabilidades mais exploradas

Este mês, "Apache Log4j Remote Code Execution" é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações em todo o mundo, seguido de perto por "Web Server Exposed Git Repository Information Disclosure", que tem um impacto global de 42,3%. O "Web Servers Malicious URL Directory Traversal" está em terceiro lugar, com um impacto global de 42,1%.

1. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a um atacante remoto executar código arbitrário no sistema afetado.
2. ↑ Web Server Exposed Git Repository Information Disclosure – Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta.
3. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de atravessamento de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.

Principais Malwares móveis

Este mês o AlienBot é o malware móvel mais prevalecente, seguido por Anubis and MaliBot.

1. AlienBot - A família de malware AlienBot é uma família de Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeiro passo, injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla completamente o seu dispositivo.
2. Anubis - Anubis é um Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais incluindo a funcionalidade de Trojan de acesso remoto (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
3. MaliBot – Malibot é um malware do Android Banking que tem sido detetado em Espanha e Itália, visando os utilizadores. A Banca disfarça-se de aplicações criptográficas sob diferentes nomes e concentra-se no roubo de informação financeira, carteiras criptográficas e mais dados pessoais.

O Índice de Impacto da Ameaça Global da Check Point e o seu Mapa ThreatCloud é alimentado pela inteligência ThreatCloud da Check Point. ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, The Intelligence & Research Arm of Check Point Software Technologies.

A lista completa das dez principais famílias de malware em junho pode ser encontrada no blog da Check Point.