Remcos é a principal ameaça contra organizações portuguesas

A Check Point publicou o Índice Global de Ameaças relativamente a outubro de 2023. No mês passado, o Remote Access Trojan (RAT) NJRat, que é conhecido por visar agências governamentais e organizações em todo o Médio Oriente, subiu quatro lugares do sexto para o segundo lugar no ranking global. Entretanto, os investigadores relataram uma nova campanha de malspam que envolveu o avançado RAT AgentTesla. O setor da Educação continuou a ser o mais visado.

No mês passado, o AgentTesla foi distribuído através de ficheiros de arquivo que continham uma extensão maliciosa Microsoft Compiled HTML Help (.CHM). Os ficheiros eram entregues por correio eletrónico como anexos .GZ ou .zip, utilizando nomes relacionados com encomendas e envios recentes, tais como - po-######.gz/shipping documents.gz, concebidos para induzir os alvos a descarregar o malware. Uma vez instalado, o AgentTesla é capaz de fazer keylogging, capturar dados da área de transferência, obter acesso ao sistema de ficheiros e transferir discretamente os dados roubados para um servidor de Comando e Controlo (C&C).

“Não nos podemos dar ao luxo de ignorar as táticas que os cibercriminosos utilizam para distribuir malware, tais como fazer-se passar por marcas conhecidas ou enviar ficheiros maliciosos por correio eletrónico”, diz Maya Horowitz, VP de Investigação da Check Point Software. “À medida que entramos na época de compras movimentada em novembro, é importante permanecer vigilante e lembrar que os cibercriminosos estão a explorar ativamente o nosso interesse acrescido em compras e envios online”.

Em Portugal, em outubro de 2023, o malware mais dominante foi o Remcos, que afetou 2,57% das organizações portuguesas. Em termos de setores, também houve alterações no primeiro lugar: o setor das Finanças/Bancário foi a principal indústria atacada no mês passado. 

A Check Point também revelou que a “Zyxel ZyWALL Command Injection (CVE-2023-28771)” foi a vulnerabilidade mais explorada, afetando 42% das organizações a nível mundial, seguida da “Command Injection Over HTTP”, que afeta 42% das organizações a nível mundial. A “Web Servers Malicious URL Directory Traversal” foi a terceira vulnerabilidade mais utilizada, com um impacto global de 42%.

Principais famílias de malware a nível mundial

1. FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C;
2. NJRat – O NJRat é um Trojan de acesso remoto que visa principalmente agências governamentais e organizações do Médio Oriente. O Trojan surgiu pela primeira vez em 2012 e tem múltiplas capacidades: captura de teclas, acesso à câmara da vítima, roubo de credenciais armazenadas em browsers, carregamento e descarregamento de ficheiros, manipulação de processos e ficheiros e visualização do ambiente de trabalho da vítima. O NJRat infeta as vítimas através de ataques de phishing e downloads drive-by, e propaga-se através de chaves USB infetadas ou unidades de rede, com o apoio do software de servidor Command & Control;
3. Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projetado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

Principais Famílias Malware em Portugal

1. Remcos;
2. NJRat;
3. FormBook.

Principais indústrias atacadas a nível global

1. Educação/Investigação 
2. Telecomunicações  
3. Administração Pública/Defesa

Principais indústrias atacadas em Portugal

1. Cuidados de Saúde
2. Telecomunicações 
3. Utilities