Qbot continua a ser a principal ameaça em Portugal

A Check Point Research (CPR) publicou o seu Índice Global de Ameaças relativo a julho de 2023. Os investigadores descobriram que o Remcos entrou para o terceiro lugar em termos globais, depois de os agentes de ameaças terem criado sites falsos no mês passado para espalhar downloaders maliciosos que transportam o RAT. Em Portugal, o Qbot manteve a posição de liderança, sendo o malware predominante no país em julho de 2023, com um impacto de 8,03% nas organizações.

O Remcos é um RAT visto pela primeira vez em 2016 e é regularmente distribuído através de documentos ou downloaders maliciosos da Microsoft. Foi observado mais recentemente numa campanha que envolvia o downloader de malware Fruity. O objetivo era levar as vítimas a descarregar o downloader Fruity, que acaba por instalar diferentes RATs como o Remcos, que é conhecido pela sua capacidade de obter acesso remoto ao sistema da vítima, roubar informações e credenciais privadas e realizar atividades maliciosas no computador do utilizador.

“Esta época do ano é perfeita para os cibercriminosos. Enquanto muitos aproveitam a época de férias, as organizações ficam a lidar com níveis staff mais reduzidos ou alterados, o que pode afetar a sua capacidade de monitorizar ameaças e minimizar o risco”, explica Maya Horowitz, VP de Investigação da Check Point Software. “A introdução de processos de segurança automatizados e consolidados pode ajudar as empresas a manter boas práticas durante os períodos de férias, para além de uma boa educação dos utilizadores”.

A CPR revelou ainda que a vulnerabilidade “Web Servers Malicious URL Directory Traversal” foi a mais explorada, afetando 49% das organizações a nível mundial, seguida da “Apache Log4j Remote Code Execution” com 45% e da “HTTP Headers Remote Code Execution” com um impacto global de 42%.

Principais ameaças a nível mundial

O Qbot foi o malware dominante no mês de julho, com um impacto de 5% nas organizações mundiais, seguido do Formbook, com um impacto global de 4%, e do Remcos, com um impacto global de 2%.

1. Qbot – O Qbot trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção;
2. FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de cibercrime pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C;
3. Remcos – O Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

Principais ameaças em Portugal

1. Qbot;
2. FromBook; 
3. Nanocore – O NanoCore é um trojan de acesso remoto que tem como alvo os utilizadores do sistema operativo Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de ecrã, mineração de criptomoedas, controlo remoto do ambiente de trabalho e roubo de sessões de webcam.

Principais indústrias atacadas a nível global

1. Educação/Investigação;
2. Administrações Públicas/Defesa;
3. Cuidados de Saúde.

Principais indústrias atacadas em Portugal 

1. Utilities;
2. Retalho;
3. Indústria.

Principais vulnerabilidades exploradas

1. Web Servers Malicious URL Directory Traversal;
2. Apache Log4j Remote Code Execution (CVE-2021-44228);
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756).

Principais ameaças mobile

1. Anubis;
2. SpinOk;
3. AhMyth.