As principais ameaças para as organizações em abril de 2023

A Check Point publicou o mais recente Índice Global de Ameaças para abril de 2023 onde os investigadores descobriram uma campanha substancial de malspam Qbot distribuída através de ficheiros PDF maliciosos, anexados a e-mails vistos em várias línguas. Entretanto, o malware Mirai entrou na lista pela primeira vez num ano, depois de explorar uma nova vulnerabilidade em equipamentos de uma conhecida marca de routers, e os cuidados de saúde passaram a ser o segundo setor mais explorado.

A campanha Qbot, vista no mês passado, envolve um novo método de entrega em que os alvos recebem um e-mail com um anexo que contém ficheiros PDF protegidos. Quando estes são descarregados, o malware Qbot é instalado no dispositivo. Os investigadores encontraram casos em que o malspam é enviado em várias línguas diferentes, o que significa que as organizações podem ser visadas em todo o mundo.

O último mês também assistiu ao regresso do Mirai, um dos malwares IoT mais populares. Os investigadores descobriram que estava a explorar uma nova vulnerabilidade de dia zero CVE-2023-1380 para atacar routers e adicioná-los à sua rede de bots, que tem sido utilizada para facilitar alguns dos ataques DDoS distribuídos mais perturbadores de que há registo, explica a empresa.

Houve também uma mudança nos setores afetados, com os cuidados de saúde a ultrapassarem a administração pública como o segundo setor mais explorado em abril. Os ataques a instituições de saúde estão bem documentados e alguns países continuam a ser alvo de ataques constantes. Por exemplo, o grupo de cibercriminosos Medusa lançou recentemente ataques a instalações oncológicas na Austrália. O setor continua a ser um alvo lucrativo para os cibercriminosos, uma vez que lhes dá acesso potencial a dados confidenciais dos pacientes e a informações sobre pagamentos. Esta situação pode ter implicações para as empresas farmacêuticas, uma vez que pode levar a fugas de informação sobre ensaios clínicos ou novos medicamentos e dispositivos médicos.

Os cibercriminosos estão constantemente a trabalhar em novos métodos para contornar as restrições e estas campanhas são mais uma prova de como o malware se adapta para sobreviver. Com o Qbot de novo na ofensiva, este facto serve para relembrar a importância de ter uma cibersegurança abrangente e de ter a devida diligência quando se trata de confiar nas origens e intenções de um e-mail.

A Check Point Research revelou, ainda, que a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 48% das organizações a nível mundial, seguida da “Apache Log4j Remote Code Execution” com 44% e da “HTTP Headers Remote Code Execution” com um impacto global de 43%.

Principais famílias de malware a nível mundial

O AgentTesla foi o malware mais dominante no mês passado, com um impacto de mais de 10% em organizações mundiais, seguido pelo Qbot com um impacto global de 7% e pelo Formbook, com um impacto global de 6%. 

1. AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode realizar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook);
2. Qbot - O Qbot AKA Qakbot é um trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.;
3. FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de cibercrime pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas.

Principais indústrias atacadas a nível global 

1. Educação/Investigação;
2. Cuidados de Saúde;
3. Governo/Defesa.

Principais indústrias atacadas em Portugal 

1. Comunicações;
2. Financeiro/Bancário;
3. Utilities.

Principais vulnerabilidades exploradas

No mês passado, o “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, com um impacto de 48% das organizações a nível mundial, seguido do “Apache Log4j Remote Code Execution”, com 44% das organizações a nível mundial impactadas e, por fim, o “HTTP Headers Remote Code Execution”, com um impacto global de 43%.

1. Web Servers Malicious URL Directory Traversal – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável;
2. Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado;
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima.