Portugal segue a tendência mundial com o Qbot a ser o malware mais prevalente em dezembro

 Portugal segue a tendência mundial com o Qbot a ser o malware mais prevalente em dezembro

QBot afetou cerca de 12% das empresas portuguesas em dezembro

Setor da saúde volta ao top 3 dos setores mais atacados em dezembro

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu último Índice Global de Ameaças para dezembro de 2022. Este mês, tanto a nível mundial como em Portugal, o malware Qbot, desenhado para roubar credenciais bancárias, foi o que mais afetou as empresas no último mês do ano. A nível dos principais setores, o setor das utilities foi o mais atacado no mês de dezembro. Após um mês fora do top 3, o setor da saúde volta a estar entre os setores mais afetados a nível nacional. O mês também ficou marcado pelo regresso do Glupteba Malware, um Trojan botnet, ao top 10 a nível mundial e pelo Hiddad, que foi o malware mobile mais prevalente.

Apesar da Google ter conseguido afetar de forma significativa, em dezembro de 2021, as operações da Glupteba, parece que o malware voltou em força no mês de dezembro. Surgiu uma nova variante modular do Glupteba, este malware consegue um certo número de ações nos dispositivos infetados. O botnet é utilizado como um downloader e infeta os dispositivos com outros malwares. O que pode significar que o malware pode ser utilizado para ataques de ransomware por exemplo. O Glupteba pode também ser utilizado para roubar credenciais, sessões e cookies dos dispositivos infetados. Assim podem aceder as plataformas das vítimas e roubar dados sensíveis ou outro tipo de ação. Este malware, é normalmente utilizado para instalar funções de criptomineração.

Em Dezembro, o Hiddad também apareceu, pela primeira vez em 2022, na lista dos três principais mobile malwares. O Hiddad é um malware de distribuição de anúncios, que visa dispositivos android. Este malware simula aplicações legítimas e depois é lançado nas lojas de aplicações não oficiais. A sua principal função é a de exibir anúncios, mas também pode obter acesso a detalhes chave de segurança integrados no sistema operativo.

“Um dos temas mais impressionantes que temos assistido nas nossas últimas pesquisas, é a frequência com que os malwares se disfarçam de softwares legítimos, para dar aos hackers os acessos aos dispositivos, sem levantar suspeitas. Por isso, é importante de realizar as devidas diligências, quando se está a realizar o download de um software na internet ou a clicar num link, mesmo que estes aparentem ser genuínos” comenta Maya Horowitz, VP Research at Check Point Software.

A CPR revela também que o "Web Server Exposed Git Repository Information Disclosure" foi a vulnerabilidade mais explorada, com impacto em 46% das organizações a nível mundial, seguido da "Web Servers Malicious URL Directory Traversal" que afetou 44% das organizações a nível mundial. E o "Command Injection Over HTTP" foi a terceira vulnerabilidade mais utilizada, com um impacto global de 43%.  

Principais famílias a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

1. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↔ Emotet O Emolet é um Trojan avançado, auto-propagador e modular. Já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
3. ↑ XMRig – O XMRig é um software de mineração, que usa as capacidades da CPU, para minerar a criptomoeda Monero. Os criminosos utilizam com frequência deste software open-source ao integrar o malware o malware para minerar nos dispositivos das vítimas.

Principais Famílias Malware em Portugal

 Portugal, segue a tendência mundial com o Qbot, que foi o malware mais difundido este mês, com 11,93% das empresas afetadas, seguido pelo XMRig e do Nanocore com 5,13% e 2,74% respetivamente.

1. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção
2. ↑ XMRig – O XMRig é um software de mineração, que usa as capacidades da CPU, para minerar a criptomoeda Monero. Os criminosos utilizam com frequência deste software open-source ao integrar o malware o malware para minerar nos dispositivos das vítimas.
3. ↑ Nanocore – NanoCore é um Trojan que tem como alvo os utilizadores do sistema operativo Windows e foi pela primeira vez observado em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas tais como captura de ecrã, Mineração de criptomoedas, controlo remoto do desktop e roubo da sessão da webcam.

Principais indústrias atacadas a nível mundial

Este mês, não houve alteração a nível dos principais setores atacados, sendo que a Educação/Investigação continua a ser a indústria mais atacada a nível mundial, seguida pelo Administração Pública/Defesa e por fim a saúde.

1. Educação/Investigação
2. Administração Pública/Defesa
3. Saúde

Principais indústrias atacadas em Portugal

Em Portugal o setor da Utilities foi o mais atacado no mês de Dezembro, seguido pelo setor das Saúde e por fim o setor Financeiro/Bancário

1. Utilities
2. Saúde
3. Financeiro/Bancário

Principais vulnerabilidades exploradas 

1. ↑ Web Server Exposed Git Repository Information Disclosure- Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a divulgação não intencional de informação de conta
2. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)- Existe uma vulnerabilidade, transversal, de diretórios em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URI para padrões de deslocação de diretórios. Uma exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
3. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Foi relatada uma vulnerabilidade no HTTP.  Um hacker pode explorar esta questão através do envio de um pedido especialmente elaborado para a vítima. Uma correta exploração permitiria a um hacker executar um código arbitrário no dispositivo alvo.

Top Mobile Malwares

Este mês, o Anubis manteve o primeiro lugar como o malware móvel mais difundido, seguido pelo Hydra e o Joker.

1. Anubis - Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger e capacidades de gravação de áudio, bem como várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
2. Hiddad - O Hiddad é um malware de distribuição de anúncios, que visa dispositivos android. Este malware simula aplicações legítimas e depois é lançado nas lojas de aplicações não oficiais. A sua principal função é a de exibir anúncios, mas também pode obter acesso a detalhes chave de segurança integrados no sistema operativo.
3. AlienBot - AlienBot é um Trojan bancário para Android, comercializado no underground como Malware-as-a-Service (MaaS). Suporta keylogging, sobreposições dinâmicas para roubo de credenciais, bem como colheita de SMS para desvio 2FA. Capacidades adicionais de controlo remoto são fornecidas utilizando um módulo TeamViewer.

O Índice de Impacto da Ameaça Global da Check Point e o seu Mapa ThreatCloud é impulsionado pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.  

A lista completa das dez principais famílias de malware em Dezembro pode ser encontrada no blogue Check Point.