Formbook torna-se principal malware a nível mundial

No seu Índice Global de Ameaças relativo ao mês de setembro, a Check Point Software Technologies evidencia o colapso do Qbot, que deixou de ser o principal malware em Portugal e no mundo. A nível mundial, o Formbook ocupou o primeiro lugar enquanto malware mais prevalente e a educação continua a ser o setor mais visado.

Os investigadores da Check Point Research relataram ainda a descoberta de uma nova campanha de phishing furtivo – que visou mais de 40 empresas em vários setores na Colômbia – concebida para instalar discretamente o Trojan de Acesso Remoto (RAT) Remcos nos computadores dos alvos.

“A campanha que descobrimos na Colômbia oferece um vislumbre do sofisticado mundo das técnicas utilizadas pelos invasores. É também uma boa ilustração de como estas técnicas são invasivas e porque precisamos de empregar a resiliência cibernética para nos protegermos contra uma variedade de tipos de ataques”, afirma Maya Horowitz, VP Research da Check Point Software.

O cenário de ciberameaças no mundo

O Remcos foi o segundo principal malware em setembro, consistindo num sofisticado “canivete suíço” RAT que concede controlo total sobre o computador infetado. Tendo aparecido pela primeira vez em 2016, este malware é distribuído através de documentos maliciosos do Microsoft Office anexados a emails de SPAM. O Remcos é projetado para escapar às ferramentas de segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível, sendo as consequências mais comuns o furto de dados, infeções subsequentes e o controlo de contas. O Remcos teve um impacto global de 2% durante este mês.

Por sua vez, o Qbot ficou completamente de fora da lista dos principais malwares a nível mundial no mês de setembro, colocando fim a um longo período como líder dos principais malwares. Isto verifica-se após uma operação do FBI ter assumido o controlo da botnet em agosto.

O FormBook, um Infostealer que tem como alvo o sistema operativo (SO) Windows, subiu de posição e tornou-se o malware mais proeminente em setembro, com um impacto de 3% nas organizações mundiais. Este malware foi detetado pela primeira vez em 2016, sendo comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas capacidades de evasão e preço económico. O Formbook recolhe credenciais de vários navegadores web e screenshots, efetua a monitorização e registo de toques de teclas e é ainda capaz de descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Já o Emotet, um Trojan avançado e modular, ocupou o terceiro lugar na lista dos principais malwares, com um impacto global de 2%. Anteriormente utilizado como um Trojan bancário, este malware tornou-se recentemente um distribuidor de outro malware ou campanhas maliciosas, recorrendo a várias técnicas de evasão para evitar a deteção. Para além disto, o Emotet pode ser distribuído através de emails de phishing spam com anexos ou links maliciosos.

Em setembro, o setor da educação e investigação continuou a ser a indústria mais atacada a nível mundial. Seguem-se o setor das comunicações e o setor de administrações públicas e defesa.

O retrato de ciberameaças em Portugal

Em Portugal, o Qbot saiu igualmente do primeiro lugar após alguns meses de liderança. No mês de setembro, o Nanocore, um Remote Access Trojan (RAT) que visa os utilizadores do SO Windows, foi o malware mais proeminente no país. O malware foi descoberto pela primeira vez em 2013, sendo que todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas e controlo remoto do ambiente de trabalho.

Segue-se o FormBook em segundo lugar na lista dos principais malwares em Portugal e, em terceiro, o Remcos.

Em termos de setores, o setor das finanças e bancário foi a principal indústria atacada em setembro, uma alteração face ao mês anterior, seguido pelo setor das comunicações e, por fim, pelo setor do retalho.

As principais vulnerabilidades exploradas

No mês passado, a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 47% das organizações a nível mundial. Esta remete para uma vulnerabilidade de passagem de diretório em diferentes servidores Web, devendo-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URL para os padrões de passagem de diretórios. Com uma exploração bem-sucedida, os cibercriminosos remotos não autenticados podem divulgar ou aceder a ficheiros arbitrários no servidor.

A “Command Injection Over HTTP” foi a segunda vulnerabilidade mais explorada, tendo afetado 42% das empresas no mundo. Esta é uma vulnerabilidade de injeção de comandos sobre HTTP. Com o envio de um pedido especialmente criado para um alvo, os invasores remotos são capazes de explorar este problema, podendo executar código arbitrário na máquina visada.

Por fim, segue-se a “Zyxel ZyWALL Command Injection”, que afetou 39% das organizações numa escala mundial. Esta remete para uma vulnerabilidade de injeção de comandos no Zyxel ZyWALL, sendo que a exploração bem-sucedida possibilita a execução de comandos arbitrários do SO no sistema afetado pelos cibercriminosos remotos.

Os principais malwares móveis

Em setembro, o primeiro lugar na lista dos principais malware móveis foi o Anubis, um malware de Trojan bancário concebido para telemóveis Android e detetado em centenas de diferentes aplicações disponíveis na Loja Google. Desde a sua deteção, o malware tem expandido as suas funções para a funcionalidade RAT, keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware.

Segue-se o AhMyth, um RAT descoberto em 2017 que é distribuído através de aplicações Android em lojas de aplicações e vários websites. Ao instalar uma das aplicações infetadas, o malware é capaz de recolher informação sensível do dispositivo, bem como de realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.

O SpinOk, um módulo de software para Android que funciona como spyware, ficou em terceiro e último lugar no pódio no mês passado. O módulo malicioso foi encontrado em mais de 100 aplicações Android e descarregado mais de 421 milhões de vezes até 23 de maio. Este malware procede à recolha de informações sobre ficheiros armazenados em dispositivos, sendo capaz de as transferir para agentes de ameaças maliciosas.