Quase um terço das empresas portuguesas foram impactadas pelo Emotet

A Check Point Research (CPR) publicou o mais recente Índice Global de Ameaças de junho de 2022. Entre as principais conclusões, destaca-se um novo malware de banking, Malibot, que surge no seguimento do derrube do FluBot no final de maio. A CPR alerta ainda para as 31% empresas que em Portugal foram impactadas pelo trojan Emotet, que a nível global também é o mais perigoso.

Embora descoberto recentemente, o MaliBot, um malware bancário, já alcançou o terceiro lugar na lista de malware móvel mais comuns. Disfarça-se de aplicações de mineração de criptomoeda sob diferentes nomes e dirige-se a utilizadores de serviços bancários móveis para roubar informação financeira. Semelhante ao FluBot, o MaliBot utiliza técnicas de smishing para atrair as vítimas a clicar num link malicioso que as redireciona para o download de uma aplicação falsa contendo o malware.

Também este mês, o notório malware Emotet é ainda a ameaça mais comum em geral. O Snake Keylogger vem em terceiro lugar após um aumento de atividade desde que apareceu em oitavo lugar no mês passado. A principal funcionalidade do Snake é gravar as teclas dos utilizadores e transmitir os dados recolhidos aos agentes da ameaça. Apesar de em maio a CPR ter observado o Snake Keylogger a ser disseminado via ficheiros PDF, recentemente foi difundido através de e-mails contendo anexos de Word marcados como pedidos de cotações. Os investigadores alertam ainda para a nova variante do Emotet em junho que tem capacidades de roubo de cartões de crédito e tem como alvo os utilizadores do navegador Chrome.

“Embora seja sempre bom ver a aplicação da lei ser bem-sucedida no derrube de grupos de cibercrime ou malware como o FluBot, infelizmente não demorou muito para que um novo malware móvel tomasse o seu lugar”, afirma Maya Horowitz, VP Research na Check Point Software. “Os cibercriminosos estão bem conscientes do papel central que os dispositivos móveis desempenham na vida de muitas pessoas e estão sempre a adaptar e a melhorar as suas táticas para corresponder. O cenário de ameaças está a evoluir rapidamente, e o malware móvel é um perigo significativo tanto para a segurança pessoal como empresarial. Nunca foi tão importante dispor de uma solução robusta de prevenção de ameaças móveis”. 

A CPR revela também que o "Apache Log4j Remote Code Execution" é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações em todo o mundo, seguido de perto pelo "Web Server Exposed Git Repository Information Disclosure", que tem um impacto global de 42,3%. O "Web Servers Malicious URL Directory Traversal" está em terceiro lugar, com um impacto global de 42,1%.

Indústrias mais atacadas em Portugal

1. Educação\Investigação 
2. Saúde 
3. Utilities 

Famílias de malware mais comuns em junho

Este mês, o Emotet é ainda o malware mais popular com um impacto global de 14%, seguido pelo Formbook e Snake Keylogger, cada um com impacto em 4,4% das organizações a nível mundial. Portugal seguiu a tendência global, apresentando, contudo, um impacto mais significativo, com 31% das organizações portuguesas impactadas pelo trojan Emotet em junho. Em segundo lugar, o Formbook, com um impacto de 9%. Seguiu-se o Snake Keylogger, responsável por impactar 6% das organizações nacionais.

1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C. 
3. Snake Keylogger – Trojan bancário identificado pela primeira vez em 2008. Concebido para roubar credenciais bancárias e registo de teclas. Distribuído frequentemente via e-mail, o Qbot utiliza várias técnicas anti-VM, anti-debugging e anti-sandbox para escapar à análise e deteção.

Indústrias mais atacadas no mundo

1. Educação/Investigação 
2. Administração Pública/Setor Militar
3. Utilities 

Vulnerabilidades mais exploradas

1. Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a um atacante remoto executar código arbitrário no sistema afetado.
2. Web Server Exposed Git Repository Information Disclosure – Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir uma divulgação não intencional de informação de conta.
3. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) - Existe uma vulnerabilidade de atravessamento de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.

Principais Malwares móveis

1. AlienBot - A família de malware AlienBot é uma família de Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeiro passo, injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla completamente o seu dispositivo. 
2. Anubis - Anubis é um Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais incluindo a funcionalidade de Trojan de acesso remoto (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
3. MaliBot – Malibot é um malware do Android Banking que tem sido detetado em Espanha e Itália, visando os utilizadores. A Banca disfarça-se de aplicações criptográficas sob diferentes nomes e concentra-se no roubo de informação financeira, carteiras criptográficas e mais dados pessoais.