QBot: O malware predominante no mês de maio no mercado Potuguês
O QBot afetou cerca de 8.18% das empresas portuguesas em maio.
Setor das Comunicações foi o mais afetado por malware no mês passado em território nacional.
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), um fornecedor líder de soluções de cibersegurança a nível mundial, publicou o seu Índice Global de Ameaças para maio de 2023. Os investigadores informaram sobre uma nova versão do descarregador baseado em shellcode GuLoader, que foi o quarto malware mais prevalente no mês passado. Com cargas úteis totalmente encriptadas e técnicas anti análise, a forma mais recente pode ser armazenada sem ser detetada em serviços de cloud pública bem conhecidos, incluindo o Google Drive. Entretanto, o Qbot e o Anubis ocuparam o primeiro lugar nas respetivas listas, e o setor da Educação/Pesquisa continuou a ser o mais explorado.
O malware GuLoader, amplamente utilizado pelos cibercriminosos para contornar a deteção de antivírus, sofreu alterações significativas. A última iteração emprega uma técnica sofisticada de substituição de código num processo legítimo, facilitando a sua evasão às ferramentas de segurança de monitorização de processos. As cargas úteis são totalmente encriptadas e armazenadas sem serem detetadas em serviços públicos de cloud de renome, incluindo o Google Drive. Esta mistura única de encriptação, formato binário bruto e separação do carregador torna os payloads invisíveis aos programas antivírus, representando uma ameaça significativa para os utilizadores e empresas em todo o mundo.
No mês passado, tanto o Qbot como o Anubis ocuparam o primeiro lugar nas respetivas listas. Apesar dos esforços para abrandar a distribuição de malware através do bloqueio de macros em ficheiros Office, os operadores do Qbot têm sido rápidos a adaptar a sua distribuição e entrega. Recentemente, foi visto a abusar de uma falha de sequestro de uma biblioteca de ligação dinâmica (DLL) no programa WordPad do Windows 10 para afetar computadores.
"As ferramentas e serviços públicos estão a ser cada vez mais explorados pelos cibercriminosos para distribuir e armazenar campanhas de malware. A fiabilidade de uma fonte já não garante uma segurança completa", disse Maya Horowitz, VP de Investigação da Check Point Software. "Isto realça a necessidade urgente de formação sobre a identificação de atividades suspeitas. Desaconselhamos vivamente a divulgação de informações pessoais ou o descarregamento de anexos, a menos que a autenticidade e a natureza benigna do pedido tenham sido confirmadas. Além disso, é crucial ter soluções de segurança avançadas como o Check Point Horizon XDR/XPR implementadas, que podem identificar eficazmente se um comportamento alegadamente benigno é realmente malicioso, proporcionando uma camada extra de proteção contra ameaças sofisticadas".
O setor da Educação/Investigação continua a ser o sector mais atacado, de acordo com o Índice da Check Point. O relatório também revelou que a vulnerabilidade "Web Servers Malicious URL Directory Traversal" é a mais explorada, afetando 49% das organizações a nível mundial. Esta é seguida de perto pelas vulnerabilidades "Apache Log4j Remote Code Execution" e "HTTP Headers Remote Code Execution", que afetam 45% e 44% das organizações a nível mundial, respetivamente.
Principais famílias de malware a nível mundial
*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.
O Qbot foi o malware mais prevalente no mês passado, com um impacto de 6% nas organizações mundiais, seguido do Formbook, com um impacto global de 5%, e do AgentTesla, com um impacto global de 3%.
1. ↑ Qbot - O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↑ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
3. ↓ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook).
Principais Famílias Malware em Portugal
Em Portugal, no mês de abril, o Qbot passou para a 3ª posição, para a posição de liderança, seguido pelo FromBook e pelo XMRig que também subiram de posição.
1. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↑ FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
3. ↑ XMRig - O XMRig é um software de mineração de CPU de código aberto usado para minerar a criptomoeda Monero. Os agentes de ameaças abusam frequentemente deste software de código aberto, integrando-o no seu malware para realizar mineração ilegal em dispositivos de vítimas.
Principais indústrias atacadas a nível global
No mês passado, o setor da Educação/Investigação manteve-se em primeiro lugar como o setor mais explorado a nível mundial, seguido do setor Administração Pública/Defesa e dos Cuidados de Saúde.
1. Educação/Investigação
2. Administração Pública/Defesa
3. Cuidados de Saúde
Principais indústrias atacadas em Portugal
Em Portugal, o setor mais atacado em maio de 2023 foi o das Comunicações, seguido dos Setores Educação/Investigação e da Administração Pública/Defesa.
1. Comunicações
2. Educação/Investigação
3. Administração Pública/Defesa
Principais vulnerabilidades exploradas
No mês passado, a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 49% das organizações a nível mundial, seguida da vulnerabilidade "Apache Log4j Remote Code Execution", que afetou 45% das organizações a nível mundial. A "Execução remota de código nos cabeçalhos HTTP" foi a terceira vulnerabilidade mais explorada, com um impacto global de 44%.
1. ↔ Web Servers Malicious URL Directory Traversal- Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima.
Top Mobile Malwares
No mês passado, o Anubis subiu para o primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Hiddad.
1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
3. Hiddad – O Hiddad é um malware Android que condiciona aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela IA ThreatCloud da Check Point: o cérebro por detrás da segurança da Check Point. O ThreatCloud AI fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com mais de 40 tecnologias de IA e Machine Learning que identificam e bloqueiam ameaças emergentes, e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
Post A Comment:
0 comments: