Utilities foi o setor mais atacado em Portugal durante janeiro

A Check Point Research (CPR) publicou o seu mais recente Índice Global de Ameaças referente a janeiro de 2023 com base em dados recolhidos pela própria empresa de cibersegurança. O Índice de Impacto Global de Ameaças da Check Point e o seu Mapa ThreatCloud é alimentado pela inteligência ThreatCloud da Check Point. ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis.

Em comparação com a estatística mundial, Portugal sofreu ataques de dois dos três principais malwares a nível mundial, o Qbot e o Agent Tesla. A nível mundial, no mês passado, o infostealer Vidar regressou à lista dos dez principais malwares após um aumento dos casos de brandjacking e o lançamento de uma grande campanha de phishing por malware njRAT no Médio Oriente e Norte de África.

Em janeiro, o infostealer Vidar espalhou-se através de domínios falsos alegando estar associado à empresa de software de ambiente de trabalho remoto AnyDesk. O malware usou o URL jacking para várias aplicações populares para redirecionar as pessoas para um único endereço IP, alegando ser o website oficial da AnyDesk. Uma vez descarregado, o malware mascarou-se como um instalador legítimo para roubar informações sensíveis, tais como credenciais de login, palavras-passe, dados de carteira de moeda criptográfica e detalhes bancários.

Os investigadores também identificaram uma grande campanha apelidada de Earth Bogle entregando o malware njRAT a alvos em todo o Médio Oriente e Norte de África. Os atacantes utilizaram e-mails de phishing contendo temas geopolíticos, aliciando os utilizadores a abrir anexos maliciosos. Uma vez descarregado e aberto, o Trojan pode infetar dispositivos, permitindo aos atacantes conduzir inúmeras atividades intrusivas para roubar informação sensível. O njRAT voltou ao número dez na lista de principais malware utilizados no mês, tendo saído em setembro de 2022.

“Mais uma vez, vemos grupos de malware a utilizar marcas de confiança para espalhar vírus, com o objetivo de roubar informação pessoal identificável. Nunca é demais sublinhar como é importante que as pessoas prestem atenção aos links em que estão a clicar para garantir que são URL legítimos. Cuidado com o cadeado de segurança, que indica um certificado SSL atualizado, e atenção a quaisquer erros de digitação ocultos que possam sugerir que o website é malicioso”, afirma, em comunicado, Maya Horowitz, VP Research na Check Point Software. 

A CPR também revelou que o "Web Server Exposed Git Repository Information Disclosure" continuou a ser a vulnerabilidade mais explorada no mês passado, com impacto em 46% das organizações a nível mundial, seguido de "HTTP Headers Remote Code Execution", com 42% das organizações a nível mundial. O "MVPower DVR Remote Code Execution" ficou em terceiro lugar, com um impacto global de 39%.

Principais famílias de malware a nível mundial

Qbot e Lokibot foram o malware mais prevalecente no mês passado, com um impacto de mais de 6% em organizações mundiais, respetivamente, seguido por AgentTesla com um impacto global de 5%.

1. Qbot – Qbot, ou Qakbot, é um trojan bancário que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais bancárias e toques nas teclas de um utilizador. Muitas vezes distribuído através de correio eletrónico não solicitado, Qbot emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção;
2. Lokibot – LokiBot é um infostealer de mercadorias com versões tanto para o sistema operativo Windows como para o Android que se identificou pela primeira vez em fevereiro de 2016. Colhe credenciais de uma variedade de aplicações, navegadores web, clientes de e-mail, ferramentas de administração de TI como o PuTTY e muito mais. O LokiBot é vendido em fóruns de hacking, e acredita-se que o seu código fonte foi divulgado, permitindo assim o aparecimento de numerosas variantes. Desde finais de 2017, algumas versões Android do LokiBot incluem funcionalidades de resgate, para além das suas capacidades de roubo de informação;
3. AgentTesla – AgentTesla é um RAT avançado que funciona como keylogger e roubador de informação, que é capaz de monitorizar e recolher a entrada do teclado da vítima, teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de email Microsoft Outlook).

Principais famílias de malware em Portugal

Portugal segue a tendência mundial com o Qbot, que foi o malware mais difundido este mês, com 8,61% de instituições e empresas afetadas, seguido pelo AgentTesla e do Vidar com 7,19% e 6,13% respetivamente.

1. Qbot;
2. AgentTesla;
3. Vidar – Vidar é um infostealer que visa os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. Vidar é vendido em vários fóruns online e utilizado como conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária.

Principais indústrias atacadas a nível mundial

1. Educação/Investigação;
2. Governo/Militar;
3. Cuidados de saúde.

Principais indústrias atacadas em Portugal

1. Utilities;
2. Cuidados de saúde;
3. Educação/Investigação.

Principais vulnerabilidades exploradas 

Em janeiro de 2023, “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, com impacto em 46% das organizações a nível mundial, seguida de “HTTP Headers Remote Code Execution”, com 42% das organizações a nível mundial. O “MVPower DVR Remote Code Execution” ficou em terceiro lugar, com um impacto global de 39%.

1. Web Server Exposed Git Repository Information Disclosure – Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta;
2. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima;
3. MVPower DVR Remote Code Execution - Existe uma vulnerabilidade de execução de código remoto nos dispositivos MVPower DVR. Um atacante remoto pode explorar esta fraqueza para executar código arbitrário no router afetado através de um pedido feito.

Principais malwares para dispositivos móveis

No mês passado, Anubis continuou a ser o malware mobile mais prevalecente, seguido por Hiddad e AhMyth.

1. Anubis – Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na loja Google;
2. Hiddad – Hiddad é um malware Android que reembala aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo;
3. AhMyth – AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar fotografias de ecrã, enviar mensagens SMS, e ativar a câmara, que normalmente é utilizada para roubar informação sensível.