O estado atual do malware no mês de Janeiro de 2023

A Check Point Research revelou alguns dados sobre o estado de diversos malware durante o mês de Janeiro de 2023. Os ataques informáticos não mostraram nenhuma tendência para reduzirem e os setor principais mantém-se inalterados.

Segundo os dados partilhados, Utilities, Saúde e Educação, permaneceram no top 3 dos setores mais atacados no mês de Janeiro, com diversos malware já conhecido no ativo.

ransomware hackers darknet darkweb kaspersky malware data
Publicidade

Agent Tesla continua em destaque entre os malware

A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu último Índice Global de Ameaças de Janeiro de 2023.

Em comparação com a estatística mundial, Portugal sofreu ataques de dois dos Top-3 malwares a nível mundial, o Qbot e o Agent Tesla. A nível mundial, no mês passado, o infostealer Vidar regressou à lista dos dez primeiros em sétimo lugar após um aumento dos casos de brandjacking, e o lançamento de uma grande campanha de phishing por malware njRAT no Médio Oriente e Norte de África.

Em Janeiro de 2023 o infostealer Vidar foi sendo espalhado através de domínios falsos alegando estar associado à empresa de software de ambiente de trabalho remoto AnyDek. O malware utilizou o URL jacking em diversas aplicações mais populares de forma a conseguir redirecionar as pessoas para um único endereço IP, fazendo-se passar pelo site oficial da AnyDesk.

Após ser descarregado, o malware mascarado de instalador legítimo, começava o ataque roubando informações sensíveis, como por exemplo credenciais de login, palavras passe, dados de carteiras de moedas criptográficas e ainda detalhes bancários dos utilizadores.

login senha malware pc mac hacker ransomware

Uma outra campanha de malware identificada pelos investigadores era apelidado de Earth Bogle, que se baseava no uso do malware njRAT. Os alvos principais tratavam-se de equipamentos localizados no Médio Oriente e Norte de África.

Os atacante recorreram a diversos e-mails de phishing com temas geopolíticos que aliciavam os utilizadores a abrir anexos maliciosos. Assim que isto acontecia, o Trojan poderia infetar os equipamentos, permitindo que os atacantes conduzissem inúmeras atividades intrusivas com o objetivo de roubarem informação sensível.

O njRAT chegou novamente ao Top 10 na lista de Top Malware após ter saído em Setembro de 2022 quando começou a ser menos comum o seu uso para ataques informáticos.

agent tesla malware hacker ciberseguranca trojan

“Mais uma vez, vemos grupos de malware a utilizar marcas de confiança para espalhar vírus, com o objetivo de roubar informação pessoal identificável. Nunca é demais sublinhar como é importante que as pessoas prestem atenção aos links em que estão a clicar para garantir que são URLs legítimos. Cuidado com o cadeado de segurança, que indica um certificado SSL atualizado, e atenção a quaisquer erros de digitação ocultos que possam sugerir que o website é malicioso”

Maya Horowitz, VP Research na Check Point Software.

O CPR também revelou que o “Web Server Exposed Git Repository Information Disclosure” continuou a ser a vulnerabilidade mais explorada no mês passado, com impacto em 46% das organizações a nível mundial, seguido de “HTTP Headers Remote Code Execution”, com 42% das organizações a nível mundial. O “MVPower DVR Remote Code Execution” ficou em terceiro lugar, com um impacto global de 39%.

As principais famílias de malware no ativo

  1. Qbot – O Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais bancárias e toques nas teclas de um utilizador. Muitas vezes distribuído através de correio eletrónico não solicitado, Qbot emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
  2. Lokibot – é um infostealer de mercadorias com versões tanto para o sistema operativo Windows como para o Android que se identificou pela primeira vez em Fevereiro de 2016. Colhe credenciais de uma variedade de aplicações, navegadores web, clientes de e-mail, ferramentas de administração de TI como o PuTTY e muito mais. O LokiBot é vendido em fóruns de hacking, e acredita-se que o seu código fonte foi divulgado, permitindo assim o aparecimento de numerosas variantes. Desde finais de 2017, algumas versões Android do LokiBot incluem funcionalidades de resgate, para além das suas capacidades de roubo de informação.
  3. AgentTesla – é um RAT avançado que funciona como keylogger e roubador de informação, que é capaz de monitorizar e recolher a entrada do teclado da vítima, teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de email Microsoft Outlook).
ransomware ciberseguranca virus informatica

Em Portugal, concretamente, o Qbot foi o mais difundido de todos, com 8.61% de instituições e empresas afetadas pelo malware em questão. Já o AgentTesla, que também esteve bastante presente a nível nacional, afetou 7.19% das empresas e instituições.

A novidade a nível nacional que difere da lista de ataques mais comuns a nível mundial é a utilização do Vidar para realizar ataques no território português.

O Vidar é um infostealer que visa os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. Vidar é vendido em vários fóruns online e utilizado como conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária

As principais industrias atacadas

Baseando-se no mês de Janeiro de 2023, as principais indústrias atacadas por algum tipo de malware mantiveram-se as mesmas que já estamos habituados.

kaspersky data breach malware ransomware ciberseguranca

Ou seja, a que mais sofreu foi a Educação/Investigação, que tem sempre um grande interesse para os criminosos devido à quantidade de informação que alberga nos seus sistemas.

De seguida encontramos o Governo/Militar, as instituições com informação sensível e de grande relevância para os países e, por fim, os Cuidados de Saúde, que são sempre um alvo para os atacantes.

Em Portugal encontramos, em primeiro lugar, o setor da Utilities, seguido pelo da Saúde e, em terceiro lugar, a Educação/Investigação.

Top Malware mobile

A nível de equipamentos móvel, o mês de Janeiro ficou marcado pela utilização em grande escala do Anubis, seguido do Hiddad e do AhMyth.

Android malware virus
  1. Anubis – é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detectado em centenas de diferentes aplicações disponíveis na Loja Google.
  2. Hiddad – é um malware Android que reembala aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
  3. AhMyth – é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar fotografias de ecrã, enviar mensagens SMS, e ativar a câmara, que normalmente é utilizada para roubar informação sensível.
Participe no passatempo:
giveaway redmi 12

Partilhe este artigo

Techbit
RECEBA AS PRINCIPAIS NOTÍCIAS TECNOLÓGICAS NO SEU EMAIL
Invalid email address
Prometemos não fazer spam e enviar apenas os conteúdos essenciais

Deixe um comentário

Publicidade
Blogarama - Blog Directory

Participe nos nossos giveaway de 4º aniversário

X