Utilities, Saúde e Edução permanecem no top 3 dos setores mais atacadas no mês de Janeiro

 Utilities, Saúde e Edução permanecem no top 3 dos setores mais atacadas no mês de Janeiro

Check Point Research relata que o infostealer Vidar regressou à lista das dez maiores ciberameaças em Janeiro, alcançando o sétimo lugar, enquanto a grande campanha, apelidada de Earth Bogle, distribuiu o malware njRAT a alvos em todo o Médio Oriente e Norte de África

Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu último Índice Global de Ameaças de janeiro de 2023. Em comparação com a estatística mundial, Portugal sofreu ataques de dois dos Top-3 malwares a nível mundial, o Qbot e o Agent Tesla. A nível mundial, no mês passado, o infostealer Vidar regressou à lista dos dez primeiros em sétimo lugar após um aumento dos casos de brandjacking, e o lançamento de uma grande campanha de phishing por malware njRAT no Médio Oriente e Norte de África.

Em Janeiro, o infostealer Vidar espalhou-se através de domínios falsos alegando estar associado à empresa de software de ambiente de trabalho remoto AnyDesk. O malware usou o URL jacking para várias aplicações populares para redireccionar as pessoas para um único endereço IP, alegando ser o website oficial da AnyDesk. Uma vez descarregado, o malware mascarado como um instalador legítimo para roubar informações sensíveis, tais como credenciais de login, palavras-passe, dados de carteira de moeda criptográfica e detalhes bancários.

Os investigadores também identificaram uma grande campanha apelidada de Earth Bogle entregando o malware njRAT a alvos em todo o Médio Oriente e Norte de África. Os atacantes utilizaram e-mails de phishing contendo temas geopolíticos, aliciando os utilizadores a abrir anexos maliciosos. Uma vez descarregado e aberto, o Trojan pode infetar dispositivos, permitindo aos atacantes conduzir inúmeras atividades intrusivas para roubar informação sensível. O njRAT chegou ao número dez na lista de Top Malware, tendo saído depois de Setembro de 2022.

 "Mais uma vez, vemos grupos de malware a utilizar marcas de confiança para espalhar vírus, com o objetivo de roubar informação pessoal identificável. Nunca é demais sublinhar como é importante que as pessoas prestem atenção aos links em que estão a clicar para garantir que são URLs legítimos. Cuidado com o cadeado de segurança, que indica um certificado SSL atualizado, e atenção a quaisquer erros de digitação ocultos que possam sugerir que o website é malicioso", afirma Maya Horowitz, VP Research na Check Point Software. 

O CPR também revelou que o "Web Server Exposed Git Repository Information Disclosure" continuou a ser a vulnerabilidade mais explorada no mês passado, com impacto em 46% das organizações a nível mundial, seguido de "HTTP Headers Remote Code Execution", com 42% das organizações a nível mundial. O "MVPower DVR Remote Code Execution" ficou em terceiro lugar, com um impacto global de 39%.

As principais famílias de malware

*As setas estão relacionadas com a mudança de classificação em relação ao mês anterior.

Qbot e Lokibot foram o malware mais prevalecente no mês passado, com um impacto de mais de 6% em organizações mundiais, respetivamente, seguido por AgentTesla com um impacto global de 5%.

1. ↑ Qbot - Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais bancárias e toques nas teclas de um utilizador. Muitas vezes distribuído através de correio eletrónico não solicitado, Qbot emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↑ Lokibot - LokiBot é um infostealer de mercadorias com versões tanto para o sistema operativo Windows como para o Android que se identificou pela primeira vez em Fevereiro de 2016. Colhe credenciais de uma variedade de aplicações, navegadores web, clientes de e-mail, ferramentas de administração de TI como o PuTTY e muito mais. O LokiBot é vendido em fóruns de hacking, e acredita-se que o seu código fonte foi divulgado, permitindo assim o aparecimento de numerosas variantes. Desde finais de 2017, algumas versões Android do LokiBot incluem funcionalidades de resgate, para além das suas capacidades de roubo de informação.
3. ↑AgentTesla - AgentTesla é um RAT avançado que funciona como keylogger e roubador de informação, que é capaz de monitorizar e recolher a entrada do teclado da vítima, teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de email Microsoft Outlook).

Principais Famílias Malware em Portugal

 Portugal, segue a tendência mundial com o Qbot, que foi o malware mais difundido este mês, com 8,61% de instituições e empresas afetadas, seguido pelo AgentTesla e do Vidar com 7,19% e 6,13% respetivamente.

1. ↔Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção
2. ↑ AgentTesla – AgentTesla é um RAT avançado que funciona como keylogger e roubador de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
3. ↑ Vidar – Vidar é um infostealer que visa os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. Vidar é vendido em vários fóruns online e utilizado como conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária.

Principais indústrias atacadas a nível mundial

No mês passado, a Educação/Investigação continuou a ser a indústria mais atacada a nível mundial, seguida pelo Governo/Militar e depois pelos Cuidados de Saúde.

1. Educação/Investigação
2. Governo/Militar
3. Cuidados de saúde

Principais indústrias atacadas em Portugal

Em Portugal o setor da Utilities foi o mais atacado no mês de Janeiro, seguido pelo setor das Saúde e por fim o setor de Educação/Investigação

1. Utilities
2. Saúde
3. Educação/Investigação

Principais vulnerabilidades exploradas 

No mês passado, "Web Server Exposed Git Repository Information Disclosure" foi a vulnerabilidade mais explorada, com impacto em 46% das organizações a nível mundial, seguida de "HTTP Headers Remote Code Execution", com 42% das organizações a nível mundial. O "MVPower DVR Remote Code Execution" ficou em terceiro lugar, com um impacto global de 39%.

1. ↔ Web Server Exposed Git Repository Information Disclosure - Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta.
2. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
3. ↑MVPower DVR Remote Code Execution - Existe uma vulnerabilidade de execução de código remoto nos dispositivos MVPower DVR. Um atacante remoto pode explorar esta fraqueza para executar código arbitrário no router afetado através de um pedido feito.

Top Malwares mobile

No mês passado, Anubis continuou a ser o malware mobile mais prevalecente, seguido por Hiddad e AhMyth.

1. Anubis - Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detectado em centenas de diferentes aplicações disponíveis na Loja Google.
2. Hiddad - Hiddad é um malware Android que reembala aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
3. AhMyth - AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar fotografias de ecrã, enviar mensagens SMS, e ativar a câmara, que normalmente é utilizada para roubar informação sensível.

O Índice de Impacto Global de Ameaças da Check Point e o seu Mapa ThreatCloud é alimentado pela inteligência ThreatCloud da Check Point. ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.  

A lista completa das dez principais famílias de malware em Janeiro pode ser encontrada no blogue Check Point.