Trojan horse foi a principal ameaça em Portugal nos meses de janeiro e fevereiro

Um estudo elaborado pela equipa de Threat Intelligence da Cybers3c revela que o ciberespaço em Portugal, nos meses de janeiro e fevereiro, tem sido assinalado pelo aumento de ameaças do tipo Trojan Horse – Branking Trojan – que afetam dispositivos móveis, nomeadamente com o sistema operativo Android. Os investigadores descobriram também evidências de campanhas de desinformação e ciberespionagem originadas em países como a China e Rússia. Estas ciberameaças têm visado sobretudo os setores financeiro, de marketing e de media.

O malware Coper/Octo, pertencente à família Exobot e desenvolvido para sistemas operativos Android, é uma das ameaças que tem marcado presença no panorama de cibersegurança português, conforme demonstra a equipa de Threat Intelligence da Cybers3c. Com o objetivo de obter dados bancários, as funcionalidades do Coper/Octo incluem keylogging, interceção de SMS/notificações e acesso remoto, com vista à exposição de palavras-passe, códigos de acesso, mensagens, pesquisas realizadas em browsers, documentos, entre outros.

Segundo os investigadores, a infraestrutura de comando e controlo (C2) do malware em questão indica que este concentra a sua atividade em Portugal, bem como em países como Espanha, Turquia e Estados Unidos.

A par disto, durante os dois primeiros meses de 2024, observou-se também o Trojan Xenomorph de 3.ª geração, derivado do Trojan Alien e classificado como um Trojan bancário. O malware é propriedade reivindicada pelo grupo “Hadoken.Security”, sendo Portugal um dos seus principais alvos. 

O Trojan Xenomorph de 3.ª geração foi concebido com o objetivo de conrtonar sistemas de segurança, devido à sua capacidade de comprometer métodos de autenticação de dois fatores. A instalação do malware é feita nos dispositivos através de droppers conhecidos como BugDrop e GymDrop, que são inseridos em aplicações que aparentam ser legítimas, como é o caso de aplicações de leitura QR Code que contornam o bloqueio de acesso à API do Google, diz o estudo.

Outra ciberameaça observada recentemente em Portugal é o Trojan Ducktail, que tem visado principalmente o setor de marketing. Originado no Vietname, este trojan difundiu-se a partir de 2021 através de anúncios falsos publicados nomeadamente em redes sociais, como o Linkedin. 

O Trojan Ducktail procura obter acesso a contas do serviço Facebook Business. Vários utilizadores em diversas partes do mundo, como Ucrânia, Grécia, Chile, Vietname e EUA, foram afetados por esta tática de “roubo” de identidade, evidencia o estudo.

Além disto, a campanha “The Bear and The Shell” surgiu em janeiro de 2024 e remete para uma campanha de ciberespionagem que visa especialmente a oposição política russa através de métodos avançados de phishing. 

A estratégia desta campanha maliciosa assenta no envio de emails com temas da NASA que contêm anexos ZIP, cuja abertura despoleta a execução de scripts PowerShell disfarçados como arquivos LNK. Isto, explica a equipa de Threat Intelligence, possibilita a implementação de uma shell reversa através da ferramenta open-source HTTP-Shell, que é utilizada pela APT responsável pela campanha.

Durante o mês de fevereiro, constatou-se a disseminação de desinformação a nível mundial que teve como alvo a empresa Shenzhen Haimai Yunxiang Media Co., conhecida também como Haimai. A principal área de negócios da organização é a comunicação de media global e serviços internacionais.

Segundo o relatório National Intelligence Service (NIS) e de National Cyber Security Center (NCSC), citado pela Cybers3c, a Haimai alegadamente utilizou a plataforma “Times Newswire”, bem como falsos sites coreanos de órgãos de comunicação social, para proceder à distribuição de comunicados de imprensa não autorizados. 

A empresa tem sido associada a campanhas de desinformação pró-China e anti-EUA, que foram amplamente divulgadas no mês passado. Foram afetados diversos países, incluindo Portugal, o que realça a importância da vigilância e da verificação de fontes de informação credíveis, alerta a Cybers3c.

A técnica de engenharia social é “comum a todas ameaças supramencionadas”, explica a equipa de Threat Intelligence da Cybers3c, uma vez que permite o estabelecimento de confiança entre os agentes maliciosos e os seus alvos com vista a obter informação sensível de forma despercebida. O phishing, por sua vez, está também associado à técnica de engenharia social.

“A análise destas ameaças no cenário da cibersegurança destaca a complexidade e a evolução contínua das táticas utilizadas pelos cibercriminosos para comprometer a segurança de organizações e indivíduos em todo o mundo”, comenta Miguel Fonseca, CyberSecurity Wizard da Cybers3c.

O CyberSecurity Wizard da Cybers3c acrescenta que “a exploração de vulnerabilidades nos sistemas e as novas técnicas de engenharia social, aliadas à disseminação de campanhas de desinformação e de malwares demonstra a crescente sofisticação de ameaças, o que representa sérios riscos para a cibersegurança, tornando-se imperativo investir na prevenção”.