Mais de 10% das empresas portuguesas foram impactadas pelo Emotet em maio

A Check Point Research (CPR) publicou o mais recente Índice Global de Ameaças de maio de 2022. No seguimento de múltiplas campanhas de disseminação de malware, os investigadores relatam que o Emotet, um trojan avançado, auto propagador e modular, continua a ser a ameaça mais impactante, afetando 6% das organizações em todo o mundo.

Em Portugal, também o Emotet foi líder, impactando 11% das organizações nacionais. Seguiram-se o QBot e o Formbook, trojan bancário e infostealer que este mês impactaram, cada um, 5% das empresas nacionais. No relatório, a Check Point Software destaca ainda a escalada de posição do Snake Keylogger que, após um período de desaparecimento, figura agora na oitava posição a nível global.

O Snake Keylogger dissemina-se por norma através de e-mails que incluem anexos docx e xlsx com macros maliciosos, contudo, este mês, os investigadores avisam que a ameaça se tem disseminado via ficheiros PDF. Isto pode dever-se em parte à decisão da Microsoft de bloquear macros recebidas da Internet, o que obrigou os cibercriminosos a tornarem-se mais criativos e a explorar outros tipos de ficheiro, como PDF. Esta forma rara de disseminar malware tem provado ser eficiente, na medida em as pessoas entendem este tipo de documento como inerentemente mais seguro do que outros.

O Emotet aumentou o seu impacto, tanto a nível nacional, como global. Este é um malware ágil e muito lucrativo dada a sua capacidade de se manter indetetável. Por outro lado, a sua persistência faz com que seja difícil de remover depois da infeção, o que o torna a ferramenta perfeita do cibercrime. Originalmente um trojan bancário, o Emotet é disseminado habitualmente através de e-mails de phishing, conseguindo implementar outros malware e, assim, maximizar o seu impacto. 

“Como é evidenciado pelas mais recentes campanhas do Snake Keylogger, tudo o que publicamos online coloca-nos em risco de um ciberataque – abrir um PDF não é exceção”, afirma, em comunicado, Maya Horowitz, VP Research da Check Point Software. “Os vírus e códigos maliciosos executáveis têm a capacidade de aceder a conteúdo multimédia e links, com o ataque de malware, neste caso o Snake Keylogger, preparado para atacar assim que o utilizador abre o PDF. Portanto, assim como questionaríamos a legitimidade de um docx ou xlsx no anexo de um e-mail, devemos ter a mesma cautela com PDF. No panorama atual, nunca foi tão importante para as organizações ter uma solução robusta de segurança de correio electrónico que isole e inspecione os anexos, impedindo que quaisquer ficheiros maliciosos entrem na rede num primeiro momento”. 

A CPR revelou ainda que “Web Servers Malicious URL Directory Traversal” é a vulnerabilidade mais comummente explorada, impactando 46% das organizações a nível mundial, seguido de perto pela “Apache Log4j Remote Code Execution”, com um impacto global de 46%. Em terceiro lugar, a “Web Server Exposed Git Repository Information Disclosure” com um impacto global de 45%.

Famílias de malware mais comuns em maio

Este mês, o Emotet continua a ser o malware mais popular com impacto de 8% das organizações a nível mundial, seguido de perto pelo Formbook e AgentTesla, responsáveis, cada um, por impactar 2% das organizações no mundo. Em Portugal, o top 3 foi encabeçado pelo Emotet, com um impacto de 11%, ao qual se seguiram Qbot e Formbook, ambos responsáveis por infetar 5% das empresas nacionais.

1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos;
2. Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C;
3. QBot – Trojan bancário identificado pela primeira vez em 2008. Concebido para roubar credenciais bancárias e registo de teclas. Distribuído frequentemente via e-mail, o Qbot utiliza várias técnicas anti-VM, anti-debugging e anti-sandbox para escapar à análise e deteção.

Indústrias mais atacadas em Portugal

1. Educação\Investigação;
2. Saúde;
3. Utilities.

Indústrias mais atacadas no mundo

1. Educação/Investigação;
2. Administração Pública/Indústria Militar;
3. ISP/MSP.

Vulnerabilidades Mais Exploradas

Em maio, a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, com um impacto global de 46% nas organizações, seguido de perto pelo "Apache Log4j Remote Code Execution" também com um impacto global de 46%. Em terceiro, esteve o " Web Server Exposed Git Repository Information Disclosure” com um impacto global de 45%.

1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de atravessamento de directório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URI para os padrões de passagem de directórios. A exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável;
2. Apache Log4j Remote Code Execution (CVE-2021-44228) - Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado;
3. Web Server Exposed Git Repository Information Disclosure - Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo FluBot e pelo xHelper.

1. AlienBot - A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo;
2. FluBot - Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel;
3. xHelper - Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.