Analysis
O trojan Qbot tem vindo a adquirir funcionalidades adicionais com o objetivo de roubar palavras-passe, emails e detalhes de cartões de crédito
11/07/2023
O Trojan Qbot tem sido o malware mais prevalente até agora em 2023, ocupando o primeiro lugar em cinco dos seis meses até à data, em Portugal. Os dados da Check Point no seu Índice Global de Ameaças de 2023 notam que o Qbot, que surgiu inicialmente em 2008 como um trojan bancário, tem sofrido um desenvolvimento consistente, adquirindo funcionalidades adicionais com o objetivo de roubar palavras-passe, emails e detalhes de cartões de crédito. É normalmente propagado através de emails de spam e emprega várias técnicas, tais como métodos anti-VM, anti-depuração e anti-sandbox, para impedir a análise e evitar a deteção. Atualmente, a sua principal função é atuar como downloader de outro malware e estabelecer uma presença nas organizações visadas, servindo de trampolim para os operadores de grupos de ransomware. Entretanto, os investigadores descobriram um malware móvel prolífico que, até agora, acumulou 421 milhões de descarregamentos. No mês passado, pela primeira vez, o SpinOk, um kit de desenvolvimento de software (SDK) trojanizado, chegou ao topo das famílias de malware para telemóveis. Utilizado por várias aplicações populares para fins de marketing, este software malicioso infiltrou-se em aplicações e jogos muito populares, alguns dos quais estavam disponíveis na Google Play Store. Capaz de roubar informações sensíveis dos dispositivos e de monitorizar as atividades da área de transferência, o malware SpinOk representa uma séria ameaça à privacidade e à segurança dos utilizadores, sublinhando a necessidade de medidas proactivas para proteger os dados pessoais e os dispositivos móveis. Serve também para recordar o potencial devastador dos ataques à cadeia de fornecimento de software. O mês passado também viu o lançamento de uma campanha de ransomware em grande escala que afetou organizações em todo o mundo. Em maio de 2023, a Progress Software Corporation divulgou uma vulnerabilidade no MOVEit Transfer e no MOVEit Cloud (CVE-2023-34362) que poderia permitir o acesso não autorizado ao ambiente. Apesar de ter sido corrigida em 48 horas, os cibercriminosos associados ao grupo de ransomware Clop, afiliado à Rússia, exploraram a vulnerabilidade e lançaram um ataque à cadeia de abastecimento contra os utilizadores do MOVEit. Até à data, 108 organizações, das quais sete universidades norte-americanas, foram listadas publicamente, na sequência do incidente, com centenas e milhares de registos obtidos. “O exploit MOVEit prova que 2023 já está a tornar-se um ano importante para o ransomware. Grupos proeminentes como o Clop não estão a operar taticamente para infetar um único alvo, mas sim a tornar as suas operações mais eficientes, explorando software que é amplamente utilizado num ambiente empresarial. Esta abordagem significa que podem atingir centenas de vítimas num único ataque”, disse Maya Horowitz, VP de Investigação da Check Point Software. “Este padrão de ataque enfatiza a importância de as empresas implementarem uma estratégia de cibersegurança em várias camadas e darem prioridade à aplicação rápida de patches quando as vulnerabilidades são divulgadas”, acrescenta. O CPR revelou que a vulnerabilidade Web Servers Malicious URL Directory Traversal foi a mais explorada no mês passado, afetando 51% das organizações a nível mundial, seguida da Apache Log4j Remote Code Execution com 46% das organizações a nível mundial. A Execução de Código Remoto de Cabeçalhos HTTP foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%. O Qbot foi o malware mais prevalente no mês passado, com um impacto de 7% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Emotet, com um impacto global de 3%. Em Portugal, no mês de junho, o Qbot permaneceu na liderança, seguido pelo FromBook e pelo XMRig que também mantiveram a sua posição. No mês passado, o setor da educação/investigação manteve-se em primeiro lugar como o setor mais explorado a nível mundial, seguido do Administração Pública/Defesa e dos cuidados de saúde. Em Portugal, o setor mais atacado em junho de 2023 foi o da Saúde, seguido dos Setores da Comunicação e da Educação/Investigação. No mês passado, a vulnerabilidade Web Servers Malicious URL Directory Traversal foi a mais explorada, afetando 51% das organizações a nível mundial, seguida da Apache Log4j Remote Code Execution com 46% das organizações a nível mundial. A execução de código remoto de cabeçalhos HTTP foi a terceira vulnerabilidade mais utilizada, com um impacto global de 44%. No mês passado, o SpinOk subiu para o primeiro lugar entre o malware móvel mais prevalecente, seguido do Anubis e do AhMyth. |