O Índice Global de Ameaças para junho de 2023, da empresa de cibersegurança Check Point Software Technologies, indica que os investigadores descobriram que o Trojan Qbot tem sido o malware mais prevalente até agora em 2023, ocupando o primeiro lugar em cinco dos últimos seis meses. Entretanto, o cavalo de Troia móvel SpinOk chegou ao topo da lista de malware pela primeira vez depois de ter sido detetado no mês passado, e o ransomware chegou às manchetes após uma vulnerabilidade de dia zero no software de partilha de ficheiros MOVEIt.
O relatório indica que o Qbot, que surgiu inicialmente em 2008 como um cavalo de Troia bancário, tem sofrido um desenvolvimento consistente, adquirindo funcionalidades adicionais com o objetivo de roubar palavras-passe, e-mails e detalhes de cartões de crédito. É normalmente propagado através de e-mails de spam e emprega várias técnicas, tais como métodos anti-VM, anti-depuração e anti-sandbox, para impedir a análise e evitar a deteção. Atualmente, a sua principal função é atuar como carregador de outro malware e estabelecer uma presença nas organizações visadas, servindo de trampolim para os operadores de grupos de ransomware.
Mas os investigadores também descobriram um malware móvel prolífico que, até agora, acumulou 421 milhões de downloads. No mês passado, pela primeira vez, o SpinOk, um kit de desenvolvimento de software (SDK) trojanizado, chegou ao topo das famílias de malware para telemóveis. Utilizado por várias aplicações populares para fins de marketing, este software malicioso infiltrou-se em aplicações e jogos muito populares, alguns dos quais disponíveis na Google Play Store.
O malware SpinOk é capaz de roubar informações sensíveis dos dispositivos e de monitorizar as atividades da área de transferência. Um malware que representa uma séria ameaça à privacidade e à segurança dos utilizadores, pelo que há necessidade de medidas proactivas para proteger os dados pessoais e os dispositivos móveis. Este malware serve também para recordar o potencial devastador dos ataques à cadeia de fornecimento de software.
O mês passado deu-se o lançamento de uma campanha de ransomware em grande escala que afetou organizações em todo o mundo. Em maio de 2023, a Progress Software Corporation divulgou uma vulnerabilidade no MOVEit Transfer e no MOVEit Cloud que poderia permitir o acesso não autorizado ao ambiente. Apesar de ter sido corrigida em 48 horas, os cibercriminosos associados ao grupo de ransomware Clop, afiliado à Rússia, exploraram a vulnerabilidade e lançaram um ataque à cadeia de abastecimento contra os utilizadores do MOVEit. Até à data, 108 organizações – incluindo sete universidades dos EUA – foram listadas publicamente, na sequência do incidente, com centenas e milhares de registos obtidos.
“O exploit MOVEit prova que 2023 já está a tornar-se um ano importante para o ransomware. Grupos proeminentes como o Clop não estão a operar taticamente para infetar um único alvo, mas sim a tornar as suas operações mais eficientes, explorando software que é amplamente utilizado num ambiente empresarial. Esta abordagem significa que podem atingir centenas de vítimas num único ataque”, disse Maya Horowitz, VP de Investigação da Check Point Software, citada em comunicado da empresa. “Este padrão de ataque enfatiza a importância de as empresas implementarem uma estratégia de cibersegurança em várias camadas e darem prioridade à aplicação rápida de patches quando as vulnerabilidades são divulgadas”.
A empresa de cibersegurança revelou também que a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada no mês passado, afetando 51% das organizações a nível mundial, seguida da “Apache Log4j Remote Code Execution” com 46% das organizações a nível mundial. A “Execução de Código Remoto de Cabeçalhos HTTP” foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%.
Principais famílias de malware a nível mundial
(*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior).
O Qbot foi o malware mais prevalente no mês passado, com um impacto de 7% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Emotet, com um impacto global de 3%.
- ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
- ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↑ Emotet – O Emotet é um Trojan avançado e modular. O Emotet costumava ser utilizado como um Trojan bancário e, recentemente, tornou-se um distribuidor de outro malware ou campanhas maliciosas. Utiliza vários métodos para manter a persistência e técnicas de evasão para evitar a deteção. Além disso, pode ser espalhado através de e-mails de phishing spam contendo anexos ou links maliciosos.
Principais Famílias Malware em Portugal
Em Portugal, no mês de Junho, o Qbot permaneceu na liderança, seguido pelo FromBook e pelo XMRig que também mantiveram a sua posição.
- ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
- ↔ FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↔ XMRig – O XMRig é um software de mineração de CPU de código aberto usado para minerar a criptomoeda Monero. Os agentes de ameaças abusam frequentemente deste software de código aberto, integrando-o no seu malware para realizar mineração ilegal em dispositivos de vítimas.
Principais indústrias atacadas a nível global
No mês passado, o sector da educação/investigação manteve-se em primeiro lugar como o setor mais explorado a nível mundial, seguido do Administração Pública/Defesa e dos cuidados de saúde.
- Educação/Investigação
- Administração Pública/Defesa
- Cuidados de Saúde
Principais indústrias atacadas em Portugal
Em Portugal, o setor mais atacado em junho de 2023 foi o da Saúde, seguido dos Setores da Comunicação e da Educação/Investigação.
- Cuidados de Saúde
- Comunicação
- Educação/Investigação
Principais vulnerabilidades exploradas
No mês passado, a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 51% das organizações a nível mundial, seguida da “Apache Log4j Remote Code Execution” com 46% das organizações a nível mundial. A “Execução de código remoto de cabeçalhos HTTP” foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%.
- ↔ Web Servers Malicious URL Directory Traversal- Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
- ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado.
- ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima.
Top Mobile Malwares
No mês passado, o SpinOk subiu para o primeiro lugar entre o malware móvel mais prevalecente, seguido do Anubis e do AhMyth.
- SpinOk – O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e é capaz de as transferir para agentes de ameaças maliciosas. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421 000 000 vezes até 23 de maio.
- Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
- AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.