Emotet já impacta quase um terço das organizações nacionais

A Check Point Research (CPR) publicou o seu mais recente Índice Global de Ameaças para Julho de 2022. O CPR informa que o Emotet continua o seu reinado como o malware mais amplamente utilizado, apesar de uma redução de 50% no seu impacto global em comparação com o mês anterior

Após um pico no impacto global do Emotet no mês passado, o Emotet está de volta aos seus números de impacto global e continua como o malware mais difundido. Possivelmente o pico terminou, devido às férias de Verão, como se viu no passado. No entanto, novas características e melhorias nas capacidades do Emotet são constantemente descobertas, tais como o seu mais recente módulo de roubo de cartões de crédito 

Julho também viu o Snake Keylogger, um ladrão de credenciais, cair do terceiro para o oitavo lugar. Em junho, o Snake Keylogger estava a ser difundido através de documentos Word maliciosos, pelo que a diminuição da sua prevalência pode dever-se em parte à recente confirmação da Microsoft de que irá bloquear macros por defeito. Substituindo-o em terceiro lugar está o XMRig, um software CPU de código aberto utilizado para minar moeda criptográfica - isto indica que os cibercriminosos estão fundamentalmente “nele pelo dinheiro” apesar de quaisquer motivações mais elevadas que possam alegar, tais como o hacktivismo. Malibot, que era novo no relatório do mês passado, continua a ser uma ameaça para os utilizadores de serviços bancários móveis, uma vez que continua a ser o terceiro malware móvel mais prevalecente a nível mundial

“O Emotet continua a dominar as nossas tabelas mensais de malware de topo”, afirma Maya Horowitz, VP Research na Check Point Software. “Este botnet evolui continuamente para manter a sua persistência e evasão. Os seus últimos desenvolvimentos incluem um módulo de roubo de cartões de crédito, o que significa que as empresas e indivíduos devem ter um cuidado extra ao fazer quaisquer compras online. Além disso, com a Microsoft a confirmar agora que irá bloquear macros por defeito, esperamos para ver como os malwares, tais como o Snake Keylogger, podem mudar as suas tácticas”.

O CPR também revelou este mês que o Web Server Exposed Git Repository Information Disclosure é a vulnerabilidade mais frequentemente explorada, com impacto em 42% das organizações a nível mundial, seguida de perto pelo Apache Log4j Remote Code Execution com um impacto de 41%. Web Servers Malicious URL Directory Traversal permaneceu em terceiro lugar, com um impacto global de 39%.

Principais Famílias Malware

O Emotet continua a ser o malware mais difundido, com um impacto global de 7%. Segue-se Formbook, com um impacto de 3% das organizações a nível mundial, e depois XMRig, com um impacto global de 2%. Em Portugal seguiu a tendência global, contudo o impacto foi mais significativo, com 28% das organizações portuguesas afetadas pelo Emolet, contudo este valor foi ligeiramente abaixo que o valor registado em junho. Em segundo lugar, o Formbook, com um impacto de 9%. Seguiu-se o Snake Keylogger, responsável por impactar 6% das organizações nacionais

1. Emotet - O Emotet é um Trojan avançado, auto-propagador e modular. O Emotet já foi usado como um Trojan bancário, mas recentemente é usado como distribuidor para outros malware ou campanhas maliciosas. Utiliza múltiplos métodos para manter a persistência e técnicas de evasão para evitar a detecção. Além disso, pode ser difundido através de e-mails de phishing spam contendo anexos ou ligações maliciosas;
2. Formbook - Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C;
3. XMRig - XMRig é um software de mineração de CPU de código aberto utilizado para minerar a moeda criptográfica Monero. Os atores da ameaça abusam frequentemente deste software de código aberto, integrando-o no seu malware, para conduzir mineração ilegal nos dispositivos da vítima.

Principais indústrias atacadas

A nível mundial, Educação e Investigação é o setor mais atacado, seguida pelo Governo/Militar e, a fechar o pódio, ISP/MSP, de acordo com a Check Point Research.

Já a nível nacional, e segundo a mesma fonte, as indústrias mais atacadas são a Saúde, seguido das Utilities e da Educaçao/Investigação.

Principais Vulnerabilidades Exploradas 

Web Server Exposed Git Repository Information Disclosure é a vulnerabilidade mais frequentemente explorada, com impacto em 42% das organizações a nível mundial. É seguido de perto pelo Apache Log4j Remote Code Execution que caiu de primeiro para segundo com um impacto ligeiramente menor de 41%. Web Servers Malicious URL Directory Traversal manteve-se em terceiro lugar, com um impacto global de 39%.

1. Web Server Exposed Git Repository Information Disclosure - Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta;
2. Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante remoto executasse um código arbitrário no sistema afetado;
3. Web Servers Malicious URL Directory Transversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) - Existe uma vulnerabilidade de transversal de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.

Top Malwares móveis

AlienBot é o malware móvel mais prevalecente, seguido por Anubis e MaliBot.

1. AlienBot - A família de malware AlienBot é um Malware como um Serviço (MaaS) para dispositivos Android que permite a um atacante remoto, como primeiro passo, injectar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla completamente o seu dispositivo;
2. Anubis - Anubis é um Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de resgate. Foi detetado em centenas de aplicações diferentes disponíveis na Loja Google;
3. MaliBot - Malibot é um malware de infostealer do Android que foi detetado em Espanha e Itália. O infostealer disfarça-se de aplicações criptográficas sob diferentes nomes e concentra-se em roubar informação financeira, carteiras criptográficas e mais dados pessoais.