A Check Point publicou o Índice Global de Ameaças relativamente a novembro de 2023 no qual é possível obter um cenário geral do malware no mundo e em Portugal.
No mês passado, os investigadores descobriram uma nova campanha AsyncRAT em que foram utilizados ficheiros HTML maliciosos para espalhar o malware encoberto. Entretanto, o downloader de JavaScript, FakeUpdates, saltou diretamente para o segundo lugar em termos globais, após um interregno de dois meses na lista dos dez primeiros. O setor da Educação continuou a ser o mais afetado em todo o mundo.
O que é o malware AsyncRAT?
O AsyncRAT é um Remote Access Trojan (RAT) conhecido pela sua capacidade de monitorizar e controlar remotamente os sistemas informáticos sem ser detetado.
O malware, que ficou em sexto lugar na lista dos dez melhores do mês passado, utiliza vários formatos de ficheiros, como o PowerShell e o BAT, para efetuar a injeção de processos. Na campanha do mês passado, os destinatários receberam um e-mail com uma ligação incorporada.
Uma vez clicada, a hiperligação desencadeava o download de um ficheiro HTML malicioso, e consequentemente uma sequência de eventos que permitia ao malware camuflar-se como uma aplicação de confiança para evitar a deteção.
O cenário atual
Desde o mês anterior, o downloader FakeUpdates voltou a entrar para o topo da lista de malware, após uma pausa de dois meses. Escrita em JavaScript, a estrutura de distribuição do malware utiliza sites comprometidos para enganar os utilizadores e fazê-los executar falsas atualizações do navegador. Este malware levou a um maior envolvimento de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
“As ciberameaças de novembro demonstram como os agentes de ameaças utilizam métodos aparentemente inócuos para se infiltrarem nas redes. A ascensão da campanha AsyncRAT e o ressurgimento do FakeUpdates destacam uma tendência em que os atacantes usam uma simplicidade enganosa para contornar as defesas tradicionais. Isto sublinha a necessidade de as organizações adotarem uma abordagem de segurança em camadas que não se baseiem apenas no reconhecimento de ameaças conhecidas, mas que também tenha a capacidade de identificar, prevenir e responder a novos vetores de ataque antes de causarem danos”
Maya Horowitz, VP de Investigação da Check Point Software
Em Portugal, em novembro de 2023, o malware mais dominante foi o FakeUpdates, que foi responsável por prejudicar 4,93% das organizações portuguesas. Em termos de setores, também houve alterações no primeiro lugar: o setor das Telecomunicações foi a principal indústria atacada no mês passado.
A CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afetando 45% das organizações a nível mundial, seguida da “Web Servers Malicious URL Directory Traversal” com 42%. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%.
O cenário a nível mundial
O FormBook foi o malware mais dominante no mês passado, com um impacto de 3% nas organizações mundiais, seguido do FakeUpdates, com um impacto global de 2% e do Remcos, com um impacto global de 2%.
- FormBook – é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- FakeUpdates – também conhecido como SocGholish, é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
- Remcos – é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.
Em Portugal, no mês de novembro, volta a haver nova liderança. O FakeUpdates é agora o malware mais dominante, seguido do FormBook e do Remcos.
Principais industrias atacadas
No mês passado, não houve qualquer alteração às três principais industrias atacadas. O setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Telecomunicações e do setor Administração Pública/Defesa.
Em Portugal o cenário é ligeiramente diferente, com o setor mais atacado a ser o das Telecomunicações, seguindo-se pelo setor dos Cuidados de Saúde e as Utilities em terceiro lugar.
No mês passado, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afetando 45% das organizações em todo o mundo, seguida pela “Web Servers Malicious URL Directory Traversal”, com 42% das organizações em todo o mundo. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%.
No que diz respeito ao mercado mobile, o malware Anubis manteve-se em primeiro lugar como sendo o mais dominante, seguido do AhMyth e do SpinOk.
O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis.
A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.
A lista completa das dez principais famílias de malware no mês de Outubro pode ser consultada no blogue da Check Point.
Participe no passatempo:
