Guloader: O malware que dominou o mercado Português no mês de abril
O Guloader afetou cerca de 13.59% das empresas portuguesas em abril.
Setor das Comunicações foi o mais afetado por malware no mês passado em território nacional.
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o mais recente Índice Global de Ameaças para abril de 2023 onde os investigadores descobriram uma campanha substancial de malspam Qbot distribuída através de ficheiros PDF maliciosos, anexados a e-mails vistos em várias línguas. Entretanto, o malware Internet of Things (IoT) Mirai entrou na lista pela primeira vez num ano, depois de explorar uma nova vulnerabilidade nos routers TP-Link, e os cuidados de saúde passaram a ser o segundo setor mais explorado.
A campanha Qbot, vista no mês passado, envolve um novo método de entrega em que os alvos recebem um e-mail com um anexo que contém ficheiros PDF protegidos. Quando estes são descarregados, o malware Qbot é instalado no dispositivo. Os investigadores encontraram casos em que o malspam é enviado em várias línguas diferentes, o que significa que as organizações podem ser visadas em todo o mundo.
O mês passado também assistiu ao regresso do Mirai, um dos malwares IoT mais populares. Os investigadores descobriram que estava a explorar uma nova vulnerabilidade de dia zero CVE-2023-1380 para atacar routers TP-Link e adicioná-los à sua rede de bots, que tem sido utilizada para facilitar alguns dos ataques DDoS distribuídos mais perturbadores de que há registo. Esta última campanha segue-se a um extenso relatório publicado pela Check Point Research (CPR) sobre a prevalência de ataques IOT.
Houve também uma mudança nos setores afetados, com os cuidados de saúde a ultrapassarem a administração pública como o segundo setor mais explorado em abril. Os ataques a instituições de saúde estão bem documentados e alguns países continuam a ser alvo de ataques constantes. Por exemplo, o grupo de cibercriminosos Medusa lançou recentemente ataques a instalações oncológicas na Austrália. O setor continua a ser um alvo lucrativo para os piratas informáticos, uma vez que lhes dá acesso potencial a dados confidenciais dos pacientes e a informações sobre pagamentos. Esta situação pode ter implicações para as empresas farmacêuticas, uma vez que pode levar a fugas de informação sobre ensaios clínicos ou novos medicamentos e dispositivos médicos.
Os cibercriminosos estão constantemente a trabalhar em novos métodos para contornar as restrições e estas campanhas são mais uma prova de como o malware se adapta para sobreviver. Com o Qbot de novo na ofensiva, este facto serve para relembrar a importância de ter uma cibersegurança abrangente e de ter a devida diligência quando se trata de confiar nas origens e intenções de um e-mail.
O CPR revelou ainda que a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 48% das organizações a nível mundial, seguida da "Apache Log4j Remote Code Execution" com 44% e da "HTTP Headers Remote Code Execution" com um impacto global de 43%.
Principais famílias de malware a nível mundial
*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.
O AgentTesla foi o malware mais dominante no mês passado, com um impacto de mais de 10% em organizações mundiais, seguido pelo Qbot com um impacto global de 7% e pelo Formbook, com um impacto global de 6%.
1. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook).
2. ↓ Qbot - O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
3. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
Principais Famílias Malware em Portugal
Em Portugal, o Guloader ocupa a posição líder, seguido do Agente Tesla e do Qbot que se encontrava no topo da tabela no mês de março.
1. ↑ Guloader - O Guloader é um downloader que tem sido amplamente utilizado desde dezembro de 2019. Quando apareceu pela primeira vez, o GuLoader foi usado para descarregar o Parallax RAT, mas foi aplicado a outros trojans de acesso remoto e ladrões de informação, como o Netwire, o FormBook e o Agent Tesla.
2. ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
3. ↓ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção
Principais indústrias atacadas a nível global
No mês passado, o setor Educação/Investigação continuou a ser o mais atacado a nível mundial, seguida pelos Cuidados de Saúde e Administração Pública/Defesa.
1. Educação/Investigação
2. Cuidados de Saúde
3. Administração Pública/Defesa
Principais indústrias atacadas em Portugal
Em Portugal, o setor mais atacado em abril de 2023 foi o das Comunicações, seguido dos Setores Financeiro e Bancário e das Utilities.
1. Comunicações
2. Financeiro/Bancário
3. Utilities
Principais vulnerabilidades exploradas
No mês passado, o “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, com um impacto de 48% das organizações a nível mundial, seguido do “Apache Log4j Remote Code Execution”, com 44% das organizações a nível mundial impactadas e, por fim, o “HTTP Headers Remote Code Execution”, com um impacto global de 43%.
1. ↑ Web Servers Malicious URL Directory Traversal- Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
2. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.
3. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima.
Top Mobile Malwares
No mês passado, o Ahmyth passou para primeiro lugar como o mobile malware mais predominante, seguido pelo Anubis e pelo Hiddad.
1. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
2. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
3. Hiddad – O Hiddad é um malware Android que condiciona aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
Post A Comment:
0 comments: