A Check point publicou o seu Índice Global de Ameaças para maio de 2023 onde foi possível perceber que o QBot foi o malware que predominou no mercado português ao longo de todo o mês de Maio de 2023.
Ao lado do QBot, os especialistas deteteram também o recurso ao Anubis e, dos diferentes setores infetados, o da Educação/Pesquisa permaneceu como sendo o mais explorado pelo cibercriminosos.
QBot subiu para primeiro lugar na lista, dominando o mercado português
A Check Point Software Technologies Ltd. (NASDAQ: CHKP), um fornecedor líder de soluções de cibersegurança a nível mundial, publicou o seu Índice Global de Ameaças para maio de 2023, através do qual os especialista informaram de uma nova versão do descarregador baseado em shellcode GuLoader, o quarto mais prevalente no mês anterior.
Com cargas úteis totalmente encriptadas e técnicas anti-análise, a forma mais recente pode ser armazenada sem ser detetada em serviços de cloud pública bem conhecidos, incluindo o Google Drive.
O malware GuLoader, amplamente utilizado pelos cibercriminosos para contornar a deteção de antivírus, sofreu alterações significativas. A última iteração emprega uma técnica sofisticada de substituição de código num processo legítimo, facilitando a sua evasão às ferramentas de segurança de monitorização de processos. As cargas úteis são totalmente encriptadas e armazenadas sem serem detetadas em serviços públicos de cloud de renome, incluindo o Google Drive. Esta mistura única de encriptação, formato binário bruto e separação do carregador torna os payloads invisíveis aos programas antivírus, representando uma ameaça significativa para os utilizadores e empresas em todo o mundo.
No mês passado, tanto o Qbot como o Anubis ocuparam o primeiro lugar nas respetivas listas. Apesar dos esforços para abrandar a distribuição de malware através do bloqueio de macros em ficheiros Office, os operadores do Qbot têm sido rápidos a adaptar a sua distribuição e entrega. Recentemente, foi visto a abusar de uma falha de sequestro de uma biblioteca de ligação dinâmica (DLL) no programa WordPad do Windows 10 para afetar computadores.
Em conversa com Rui Douro, Country Manager da Check Point Software em Portugal, o especialista já tinha deixado o alerta sobre este tipo de ataques, incluindo sobre o Qbot, e da importância que o setor da Educação acaba por ter para os criminosos devido à quantidade de informação que armazena e aos baixos níveis de segurança com que pode contar.
Tratando-se de um setor que serve para ensinar novas gerações, as restrições não podem ser elevadas para não limitarem os utilizadores, o que deixa muito mais espaço para ocorrerem falhas de segurança.
O setor da Educação/Investigação continua a ser o sector mais atacado, de acordo com o Índice da Check Point. O relatório também revelou que a vulnerabilidade “Web Servers Malicious URL Directory Traversal” é a mais explorada, afetando 49% das organizações a nível mundial. Esta é seguida de perto pelas vulnerabilidades “Apache Log4j Remote Code Execution” e “HTTP Headers Remote Code Execution”, que afetam 45% e 44% das organizações a nível mundial, respetivamente.
Em Portugal, no mês de abril, o Qbot passou para a 3ª posição, para a posição de liderança, seguido pelo FromBook e pelo XMRig que também subiram de posição. No mês passado, o setor da Educação/Investigação manteve-se em primeiro lugar como o setor mais explorado a nível mundial, seguido do setor Administração Pública/Defesa e dos Cuidados de Saúde.
Em Portugal, o setor mais atacado em maio de 2023 foi o das Comunicações, seguido dos Setores Educação/Investigação e da Administração Pública/Defesa.
No mês passado, a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 49% das organizações a nível mundial, seguida da vulnerabilidade “Apache Log4j Remote Code Execution”, que afetou 45% das organizações a nível mundial. A “Execução remota de código nos cabeçalhos HTTP” foi a terceira vulnerabilidade mais explorada, com um impacto global de 44%.
No mês passado, o Anubis subiu para o primeiro lugar como o malware móvel mais prevalecente, seguido do AhMyth e do Hiddad. O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
