QBot: Malware manteve a sua posição de liderança no mercado português no mês de julho

QBot: Malware manteve a sua posição de liderança no mercado português no mês de julho

· O QBot afetou cerca de 8,03% das empresas portuguesas em julho.

· Setor das Utilities foi o mais afetado por malware no mês passado em território nacional.

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível mundial, publicou o seu Índice Global de Ameaças relativo a julho de 2023. Os investigadores descobriram que o Remcos entrou para o terceiro lugar em termos globais, depois de os agentes de ameaças terem criado sites falsos no mês passado para espalhar downloaders maliciosos que transportam o RAT. Enquanto isso, o Trojan bancário móvel Anubis derrubou o relativamente recém-chegado SpinOk do primeiro lugar na lista de malware móvel e o setor da Educação/Investigação foi o mais afetado em termos globais.

O Remcos é um RAT visto pela primeira vez em 2016 e é regularmente distribuído através de documentos ou downloaders maliciosos da Microsoft. Foi observado mais recentemente numa campanha que envolvia o downloader de malware Fruity. O objetivo era levar as vítimas a descarregar o downloader Fruity, que acaba por instalar diferentes RATs como o Remcos, que é conhecido pela sua capacidade de obter acesso remoto ao sistema da vítima, roubar informações e credenciais privadas e realizar atividades maliciosas no computador do utilizador.

Em Portugal, o QBot manteve a posição de liderança, sendo o malware predominante no país em julho de 2023, com um impacto de 8,03% nas organizações.

"Esta época do ano é perfeita para os cibercriminosos. Enquanto muitos aproveitam a época de férias, as organizações ficam a lidar com níveis staff mais reduzidos ou alterados, o que pode afetar a sua capacidade de monitorizar ameaças e minimizar o risco", explica Maya Horowitz, VP de Investigação da Check Point Software. "A introdução de processos de segurança automatizados e consolidados pode ajudar as empresas a manter boas práticas durante os períodos de férias, para além de uma boa educação dos utilizadores".

A CPR revelou ainda que a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 49% das organizações a nível mundial, seguida da "Apache Log4j Remote Code Execution" com 45% e da "HTTP Headers Remote Code Execution" com um impacto global de 42%.

Principais famílias de malware a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O Qbot foi o malware dominante no mês de julho, com um impacto de 5% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Remcos, com um impacto global de 2%.

1. ↔ Qbot - O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.

2. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

3. ↑ Remcos - Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

Principais Famílias Malware em Portugal

Em Portugal, no mês de julho, o Qbot permaneceu na liderança, seguido pelo FromBook e, em terceiro lugar, entrou um novo malware na tabela, o Nanocore.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.

2. ↔ FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

3. ↑ Nanocore - O NanoCore é um Trojan de Acesso Remoto que tem como alvo os utilizadores do sistema operativo Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas, controlo remoto do ambiente de trabalho e roubo de sessões de webcam.

Principais indústrias atacadas a nível global

No mês passado, o setor da Educação/Investigação manteve-se em primeiro lugar como o mais explorado a nível mundial, seguido do setor Administrações Públicas/Defesa e Cuidados de Saúde.

1. Educação/Investigação

2. Administrações Públicas/Defesa

3. Cuidados de Saúde

Principais indústrias atacadas em Portugal

Em Portugal, o setor mais atacado em julho de 2023 foi o das Utilities, seguido do setor do Retalho, em segundo lugar, e do setor da Indústria, que ocupa o último lugar do pódio.

1. Utilities

2. Retalho

3. Indústria

Principais vulnerabilidades exploradas

No mês passado, a "Web Servers Malicious URL Directory Traversal" foi a vulnerabilidade mais explorada, afetando 49% das organizações a nível mundial, seguida da "Apache Log4j Remote Code Execution" com 45% e da "HTTP Headers Remote Code Execution" com um impacto global de 42%.

1. ↔ Web Servers Malicious URL Directory Traversal - Existe uma vulnerabilidade de travessia de diretório em diferentes servidores Web. A vulnerabilidade acontece por causa de um erro de validação de entrada num servidor Web que não limpa corretamente o URL para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.

2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.

3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com um pedido HTTP. Um atacante remoto pode usar um cabeçalho HTTP vulnerável para executar código arbitrário na máquina da vítima.

Top Mobile Malwares

No mês passado, o Anubis ocupou o primeiro lugar do malware móvel mais dominante, seguido do SpinOk e do AhMyth.

1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.

2. SpinOk - O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e é capaz de as transferir para agentes de ameaças maliciosas. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421 000 000 vezes até 23 de maio.

3. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.

O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.

A lista completa das dez principais famílias de malware em julho pode ser consultada no blog da Check Point.