A Check Point publicou o seu Índice Global de Ameaças para junho de 2023 onde o malware QBot se mostrou novamente como sendo o mais prevalente em 2023.
Até à data, o QBot ocupou o primeiro lugar da listagem em cinco dos seis meses já analisados durante 2023.
QBot mantém-se presente e ativo em grande escala
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder mundial de soluções de cibersegurança, publicou o seu Índice Global de Ameaças para junho de 2023.
Os investigadores descobriram que o Trojan Qbot tem sido o malware mais prevalente até agora em 2023, ocupando o primeiro lugar em cinco dos seis meses até à data.
Entretanto, o cavalo de Troia móvel SpinOk chegou ao topo da lista de malware pela primeira vez depois de ter sido detectado no mês passado, e o ransomware chegou às manchetes após uma vulnerabilidade de dia zero no software de partilha de ficheiros MOVEIt.
O Qbot, que surgiu inicialmente em 2008 como um cavalo de Troia bancário, tem sofrido um desenvolvimento consistente, adquirindo funcionalidades adicionais com o objetivo de roubar palavras-passe, e-mails e detalhes de cartões de crédito.
É normalmente propagado através de e-mails de spam e emprega várias técnicas, tais como métodos anti-VM, anti-depuração e anti-sandbox, para impedir a análise e evitar a deteção. Atualmente, a sua principal função é atuar como carregador de outro malware e estabelecer uma presença nas organizações visadas, servindo de trampolim para os operadores de grupos de ransomware.
Os investigadores descobriram ainda um malware móvel prolífico que, até agora, acumulou 421 milhões de descarregamentos. No mês passado, pela primeira vez, o SpinOk, um kit de desenvolvimento de software (SDK) trojanizado, chegou ao topo das famílias de malware para telemóveis.
Utilizado por várias aplicações populares para fins de marketing, este software malicioso infiltrou-se em aplicações e jogos muito populares, alguns dos quais estavam disponíveis na Google Play Store.
Com capacidades suficientes para roubar informações sensíveis dos dispositivos e de monitorizar as atividades da área de transferência, o malware SpinOk representa uma séria ameaça à privacidade e à segurança dos utilizadores, sublinhando a necessidade de medidas proactivas para proteger os dados pessoais e os dispositivos móveis. Serve também para recordar o potencial devastador dos ataques à cadeia de fornecimento de software.
No decorrer do mês passado foi ainda lançada uma campanha de ransomware em grande escala que afetou organizações em todo o mundo. Em maio de 2023, a Progress Software Corporation divulgou uma vulnerabilidade no MOVEit Transfer e no MOVEit Cloud (CVE-2023-34362) que poderia permitir o acesso não autorizado ao ambiente.
Apesar de ter sido corrigida em 48 horas, os cibercriminosos associados ao grupo de ransomware Clop, afiliado à Rússia, exploraram a vulnerabilidade e lançaram um ataque à cadeia de abastecimento contra os utilizadores do MOVEit. Até à data, 108 organizações – incluindo sete universidades dos EUA – foram listadas publicamente, na sequência do incidente, com centenas e milhares de registos obtidos.
O CPR revelou também que a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada no mês passado, afetando 51% das organizações a nível mundial, seguida da “Apache Log4j Remote Code Execution” com 46% das organizações a nível mundial. A “Execução de Código Remoto de Cabeçalhos HTTP” foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%.
Principais famílias de malware em Portugal
Em Portugal, no mês de Junho, o Qbot permaneceu na liderança, seguido pelo FromBook e pelo XMRig que também mantiveram a sua posição.
- Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
- FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- XMRig – O XMRig é um software de mineração de CPU de código aberto usado para minerar a criptomoeda Monero. Os agentes de ameaças abusam frequentemente deste software de código aberto, integrando-o no seu malware para realizar mineração ilegal em dispositivos de vítimas.
Principais famílias de malware a nível mundial
O Qbot foi o malware mais prevalente no mês passado, com um impacto de 7% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Emotet, com um impacto global de 3%.
- Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
- FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- Emotet – O Emotet é um Trojan avançado e modular. O Emotet costumava ser utilizado como um Trojan bancário e, recentemente, tornou-se um distribuidor de outro malware ou campanhas maliciosas. Utiliza vários métodos para manter a persistência e técnicas de evasão para evitar a deteção. Além disso, pode ser espalhado através de e-mails de phishing spam contendo anexos ou links maliciosos.
