Infostealers aumentam e AgentTesla passa a ser o malware mais predominante em Portugal

A empresa de soluções de cibersegurança, Check Point Software Technologies, divulgou o seu Índice Global de Ameaças para outubro de 2024. O relatório destaca uma tendência considerada preocupante no panorama da cibersegurança: o aumento dos infostealers e a sofisticação dos métodos de ataque utilizados pelos cibercriminosos.

No mês de outubro, os investigadores descobriram uma cadeia de infeção em que páginas CAPTCHA falsas estão a ser utilizadas para distribuir o malware Lumma Stealer, que subiu para o quarto lugar na classificação mensal do Top Malware. Esta campanha é notável pelo seu alcance global, afetando vários países através de dois vectores de infeção primários: um que envolve URLs de download de jogos crackeados e o outro através de e-mails de phishing dirigidos a utilizadores do GitHub como um novo meio inovador de vetor de ataque.

O processo de infeção induz as vítimas a executar um script malicioso que foi copiado para a sua área de transferência, mostrando a crescente predominância de infostealers como um meio eficaz para os cibercriminosos exfiltrarem credenciais e dados sensíveis de sistemas comprometidos.

Na esfera do malware móvel, a nova versão do Necro surgiu como uma ameaça significativa, ocupando o segundo lugar entre os malwares móveis. O Necro infetou várias aplicações populares, incluindo mods de jogos disponíveis no Google Play, com uma audiência acumulada de mais de 11 milhões de dispositivos Android.

O malware emprega técnicas de ofuscação para evitar a deteção e utiliza a esteganografia, que é a prática de esconder informação dentro de outra mensagem ou objeto físico para evitar a deteção, para esconder os seus payloads. Uma vez ativado, pode mostrar anúncios em janelas invisíveis, interagir com eles e até subscrever as vítimas em serviços pagos, destacando a evolução das táticas utilizadas pelos atacantes para rentabilizar as suas operações.

Em Portugal, o mês de outubro apresentou a mesma liderança: o AgentTesla foi o malware mais predominante, com um impacto de 16,96% nas organizações portuguesas, e o setor mais afetado manteve-se o da Educação/Investigação.

Maya Horowitz, VP de Investigação da Check Point Software, comentou o atual cenário de ameaças, afirmando que

“O aumento de sofisticados infostealers sublinha uma realidade crescente. Os cibercriminosos estão a evoluir os seus métodos e a utilizar vetores de ataque inovadores. As organizações devem ir além das defesas tradicionais, adotando medidas de segurança proativas e adaptativas que antecipem as ameaças emergentes para combater eficazmente estes desafios persistentes”, referiu Maya Horowitz, VP de Investigação da Check Point Software.

Principais famílias de malware a nível mundial

*As setas indicam uma mudança na classificação em relação ao mês anterior

1. ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
2. ↔ Androxgh0st – O Androxgh0st é um botnet que tem como alvo as plataformas Windows, Mac e Linux. Ao iniciar a infeção, explora várias vulnerabilidades, especificamente visando o PHPUnit, Laravel Framework e Apache Web Server. O malware rouba informações sensíveis, como informações de contas Twilio, credenciais SMTP, chave AWS, entre outros. Utiliza ficheiros Laravel para recolher as informações necessárias. Tem diferentes variantes que procuram informações diferentes.
3. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).

Principais Famílias Malware em Portugal

Em Portugal, o pódio sofreu algumas alterações no mês de outubro. O AgentTesla manteve a liderança como o malware mais predominante, com um impacto de 16,96% nas organizações portuguesas, seguido do Lumma, com 8,58% e do CloudEye com 7,24%.

1. ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
2. ↑ Lumma – O Lumma, também conhecido como LummaC2, é um malware para roubo de informações de origem russa que funciona como uma plataforma de Malware-as-a-Service (MaaS) desde 2022. Este malware, descoberto em meados de 2022, está em constante evolução e é distribuído ativamente em fóruns de língua russa. Como um típico ladrão de informações, o LummaC2 concentra-se na recolha de vários dados de sistemas infetados, incluindo credenciais de navegador e informações de contas de criptomoeda.
3. ↓ CloudEye – O CloudEye é um downloader que tem como alvo a plataforma Windows e é utilizado para descarregar e instalar programas maliciosos nos computadores das vítimas.

Principais vulnerabilidades exploradas a nível mundial

1. ↑ Servidores Web: passagem de diretório de URL malicioso (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não limpa corretamente o URL para os padrões de passagem de diretório. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
2. ↓ Injeção de Comandos via HTTP (CVE-2021-43936,CVE-2022-24086) – Uma injeção de comandos via HTTP foi reportada como vulnerabilidade. Um atacante pode explorar remotamente esta vulnerabilidade enviando uma solicitação especialmente manipulada para a vítima, permitindo a execução de código arbitrário no dispositivo alvo.
3. ↑ Injeção de comandos Zyxel ZyWALL (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comandos no Zyxel ZyWALL. A exploração bem-sucedida desta vulnerabilidade permitiria que invasores remotos executassem comandos arbitrários do sistema operacional no sistema afetado.

Principais malwares móveis a nível mundial

Em outubro, o Joker manteve o 1º lugar como o malware móvel mais dominante, seguido do Necro, que subiu de posição, e do Anubis, que caiu de posição mas manteve-se no pódio.

1. ↔ Joker – Um spyware para Android, presente no Google Play, desenhado para roubar mensagens SMS, listas de contactos e informações do dispositivo. Além disso, o malware inscreve silenciosamente a vítima em serviços premium em websites de anúncios.
2. ↑ Necro – O Necro é um Trojan Dropper para Android. É capaz de descarregar outro malware, mostrar anúncios intrusivos e roubar dinheiro ao cobrar subscrições pagas.
3. ↓ Anubis – O Anubis é um trojan bancário projetado para telemóveis Android. Desde que foi inicialmente detetado, adquiriu funções adicionais, incluindo funcionalidades de RAT (Trojan de Acesso Remoto), keylogger, gravação de áudio e várias características de ransomware.

Setores mais atacados a nível mundial

Em outubro, o pódio alterou ligeiramente em relação mês anterior: o setor da Educação/Investigação manteve o 1º lugar nos setores mais atacados a uma escala global, seguido pelo setor da Administração Pública/Defesa, que também manteve a segunda posição. Em terceiro lugar está agora o setor das Telecomunicações.

1. Educação/Investigação
2. Administração Pública/Defesa
3. Telecomunicações

Principais indústrias atacadas em Portugal

Em Portugal, o mês de outubro viu todas as posições alteradas: o setor mais atacado foi o da Educação/Investigação, seguido do setor da Saúde e do setor dos Transportes.

1. Educação/Investigação
2. Saúde
3. Transportes

Principais Grupos de Ransomware

Os dados são baseados em insights de sites de “shame” de ransomware operados por grupos de ransomware de dupla extorsão, que publicam informações privadas das vítimas. O RansomHub foi o grupo de ransomware predominante em outubro, responsável por 17% dos ataques publicados, seguido pelo Play com 10% e pelo Meow com 5%.

1. RansomHub – O RansomHub é uma operação de Ransomware-as-a-Service (RaaS) que surgiu como uma versão rebatizada do anteriormente conhecido ransomware Knight. Emergindo de forma proeminente no início de 2024 em fóruns de cibercrime subterrâneos, o RansomHub rapidamente ganhou notoriedade pelas suas campanhas agressivas, tendo como alvo sistemas operativos Windows, macOS, Linux e particularmente ambientes VMware ESXi, utilizando métodos sofisticados de encriptação.
2. Play – O Play Ransomware, também conhecido como PlayCrypt, é um ransomware que surgiu pela primeira vez em junho de 2022. Este ransomware tem como alvo um amplo espetro de empresas e infraestruturas críticas na América do Norte, América do Sul e Europa, tendo afetado aproximadamente 300 entidades até outubro de 2023. O Play Ransomware obtém normalmente acesso às redes através de contas válidas comprometidas ou explorando vulnerabilidades não corrigidas, como as das VPNs SSL da Fortinet. Uma vez lá dentro, emprega técnicas como a utilização de binários de vida livre (LOLBins) para tarefas como a exfiltração de dados e o roubo de credenciais.
3. Meow – O Meow Ransomware é uma variante baseada no ransomware Conti, conhecido por encriptar uma vasta gama de ficheiros em sistemas comprometidos e anexar-lhes a extensão “. MEOW”. Deixa uma nota de resgate chamada “readme.txt”, instruindo as vítimas a contactar os atacantes por e-mail ou Telegram para negociar o pagamento do resgate. O Meow Ransomware propaga-se através de vários vetores, incluindo configurações RDP desprotegidas, spam de email e descarregamentos maliciosos, e utiliza o algoritmo de encriptação ChaCha20 para bloquear ficheiros, excluindo ficheiros “.exe” e de texto.