A Check Point Research revelou alguns dados sobre o estado de diversos malware durante o mês de Janeiro de 2023. Os ataques informáticos não mostraram nenhuma tendência para reduzirem e os setor principais mantém-se inalterados.
Segundo os dados partilhados, Utilities, Saúde e Educação, permaneceram no top 3 dos setores mais atacados no mês de Janeiro, com diversos malware já conhecido no ativo.
Agent Tesla continua em destaque entre os malware
A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o seu último Índice Global de Ameaças de Janeiro de 2023.
Em comparação com a estatística mundial, Portugal sofreu ataques de dois dos Top-3 malwares a nível mundial, o Qbot e o Agent Tesla. A nível mundial, no mês passado, o infostealer Vidar regressou à lista dos dez primeiros em sétimo lugar após um aumento dos casos de brandjacking, e o lançamento de uma grande campanha de phishing por malware njRAT no Médio Oriente e Norte de África.
Em Janeiro de 2023 o infostealer Vidar foi sendo espalhado através de domínios falsos alegando estar associado à empresa de software de ambiente de trabalho remoto AnyDek. O malware utilizou o URL jacking em diversas aplicações mais populares de forma a conseguir redirecionar as pessoas para um único endereço IP, fazendo-se passar pelo site oficial da AnyDesk.
Após ser descarregado, o malware mascarado de instalador legítimo, começava o ataque roubando informações sensíveis, como por exemplo credenciais de login, palavras passe, dados de carteiras de moedas criptográficas e ainda detalhes bancários dos utilizadores.
Uma outra campanha de malware identificada pelos investigadores era apelidado de Earth Bogle, que se baseava no uso do malware njRAT. Os alvos principais tratavam-se de equipamentos localizados no Médio Oriente e Norte de África.
Os atacante recorreram a diversos e-mails de phishing com temas geopolíticos que aliciavam os utilizadores a abrir anexos maliciosos. Assim que isto acontecia, o Trojan poderia infetar os equipamentos, permitindo que os atacantes conduzissem inúmeras atividades intrusivas com o objetivo de roubarem informação sensível.
O njRAT chegou novamente ao Top 10 na lista de Top Malware após ter saído em Setembro de 2022 quando começou a ser menos comum o seu uso para ataques informáticos.
“Mais uma vez, vemos grupos de malware a utilizar marcas de confiança para espalhar vírus, com o objetivo de roubar informação pessoal identificável. Nunca é demais sublinhar como é importante que as pessoas prestem atenção aos links em que estão a clicar para garantir que são URLs legítimos. Cuidado com o cadeado de segurança, que indica um certificado SSL atualizado, e atenção a quaisquer erros de digitação ocultos que possam sugerir que o website é malicioso”
Maya Horowitz, VP Research na Check Point Software.
O CPR também revelou que o “Web Server Exposed Git Repository Information Disclosure” continuou a ser a vulnerabilidade mais explorada no mês passado, com impacto em 46% das organizações a nível mundial, seguido de “HTTP Headers Remote Code Execution”, com 42% das organizações a nível mundial. O “MVPower DVR Remote Code Execution” ficou em terceiro lugar, com um impacto global de 39%.
As principais famílias de malware no ativo
- Qbot – O Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais bancárias e toques nas teclas de um utilizador. Muitas vezes distribuído através de correio eletrónico não solicitado, Qbot emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
- Lokibot – é um infostealer de mercadorias com versões tanto para o sistema operativo Windows como para o Android que se identificou pela primeira vez em Fevereiro de 2016. Colhe credenciais de uma variedade de aplicações, navegadores web, clientes de e-mail, ferramentas de administração de TI como o PuTTY e muito mais. O LokiBot é vendido em fóruns de hacking, e acredita-se que o seu código fonte foi divulgado, permitindo assim o aparecimento de numerosas variantes. Desde finais de 2017, algumas versões Android do LokiBot incluem funcionalidades de resgate, para além das suas capacidades de roubo de informação.
- AgentTesla – é um RAT avançado que funciona como keylogger e roubador de informação, que é capaz de monitorizar e recolher a entrada do teclado da vítima, teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de email Microsoft Outlook).
Em Portugal, concretamente, o Qbot foi o mais difundido de todos, com 8.61% de instituições e empresas afetadas pelo malware em questão. Já o AgentTesla, que também esteve bastante presente a nível nacional, afetou 7.19% das empresas e instituições.
A novidade a nível nacional que difere da lista de ataques mais comuns a nível mundial é a utilização do Vidar para realizar ataques no território português.
O Vidar é um infostealer que visa os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. Vidar é vendido em vários fóruns online e utilizado como conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária
As principais industrias atacadas
Baseando-se no mês de Janeiro de 2023, as principais indústrias atacadas por algum tipo de malware mantiveram-se as mesmas que já estamos habituados.
Ou seja, a que mais sofreu foi a Educação/Investigação, que tem sempre um grande interesse para os criminosos devido à quantidade de informação que alberga nos seus sistemas.
De seguida encontramos o Governo/Militar, as instituições com informação sensível e de grande relevância para os países e, por fim, os Cuidados de Saúde, que são sempre um alvo para os atacantes.
Em Portugal encontramos, em primeiro lugar, o setor da Utilities, seguido pelo da Saúde e, em terceiro lugar, a Educação/Investigação.
Top Malware mobile
A nível de equipamentos móvel, o mês de Janeiro ficou marcado pela utilização em grande escala do Anubis, seguido do Hiddad e do AhMyth.
- Anubis – é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detectado em centenas de diferentes aplicações disponíveis na Loja Google.
- Hiddad – é um malware Android que reembala aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo.
- AhMyth – é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar fotografias de ecrã, enviar mensagens SMS, e ativar a câmara, que normalmente é utilizada para roubar informação sensível.
