Malware Emotet continua no topo das ciberameaças

Índice Global de Ameaças de fevereiro de 2022, da Check Point Research, revela que o Emotet é o malware responsável pelo impacto em Portugal de 6,04%, com o setor de Sistemas de Informação a ser o mais atacado, seguido pelo Administração Pública e a Indústria Militar.

Malware Emotet continua no topo das ciberameaças
Malware Emotet continua no topo das ciberameaças. Foto: © Rosa Pinto

Os investigadores da Check Point Research indicam que o Emotet mantém-se como o malware mais prevalente, impactando 5% das organizações em todo o mundo, enquanto o Trickbot tem vindo a perder relevância, passando de segundo para sexto lugar no Índice de Ameaças.

O Trickbot é um botnet e trojan bancário que pode roubar detalhes financeiros, credenciais de contas, e informação de identificação pessoal, bem como espalhar lateralmente dentro de uma rede e albergar malware. Durante 2021, este malware esteve entre os mais prevalecentes durante 7 meses.

Ao longo das últimas semanas, a Check Point Research, notou que não surgiram novas campanhas de ataques Trickbot, colocando-se na sexta posição do Índice de Ameaças. O motivo poderá ser devido a alguns dos membros Trickbot se terem juntado ao grupo de ransomware Conti, como sugere informação partilhada pelo grupo Conti.

Em fevereiro o Check Point Research verificou que os cibercriminosos procuraram aproveitar-se do conflito Rússia-Ucrânia para ludibriar pessoas para efetuarem o download de ficheiros maliciosos, e o malware mais prevalecente no mês foi o Emotet, que tem sido o veículo usado para o efeito, com e-mail que contém ficheiros maliciosos e títulos sugestivos: “Recall: Ukraine -Russia Military conflict: Welfare of our Ukrainian Crew member” (Alerta: conflito militar Ucrânia – Rússia: Assistência so membros das tropas ucranianas).

“Neste momento estamos a ver um variado número de malwares, incluindo o Emotet, a tirar proveito do interesse público à volta do conflito Rússia/Ucrânia, criando campanhas de e-mail com um título para enganar as pessoas a fazer o download de ficheiros maliciosos. É importante confirmar sempre se o endereço de e-mail do emissor é autêntico, validar se existem erros ortográficos nos e-mails e nunca abrir ficheiros que venham em anexo ou clicar em links a não ser que esteja totalmente certo que é um e-mail seguro e válido” referiu Maya Horowitz, VP Research na Check Point Software, citada em comunicado da empresa.

O Check Point Research revelou este mês que o setor de Educação e Investigação continua a ser o mais atacado a nível global, seguido do setor da Administração Pública/Indústria Militar e ISP/MSP. A “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, que impactou 46% das organizações globalmente, seguida da “Apache Log4j Remote Code Execution” que passou de primeira para segunda vulnerabilidade mais explorada e que ainda assim impacta 44% das organizações a nível mundial. A terceira vulnerabilidade mais explorada é “HTTP Headers Remote Code Execution”, com um impacto global de 41%.

Top famílias de malware

Este mês, o Emotet mantém-se como o malware mais perigoso do mundo, com um impacto de 5% das organizações do mundo. É seguido de perto pelo Formbook, com um impacto de 3%, e pelo Glupteba, com um impacto de 2%.

Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 6,04%. Seguem-se o Formbook, um infostealer que rouba credenciais e captura ecrãs, bem como regista as teclas usadas e que em Portugal impactou 3,64% das organizações; e o Crackonosh, um software de mineração de malware com um impacto de 3,23%.

  1. Emotet – Trojan avançado, auto-propagador e modular mantém-se ativo. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
  2. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C, tem vindo a crescer.
  3. Crackonosh – é um minerador de malware que pode ser injetado em produtos de software populares que tenham sido atacados e disponibilizados em plataformas de hosting de software pirata. De modo a alargar a base de potenciais vítimas, os operadores desta ameaça disponibilizam videojogos. A partir do momento em que o Crackonosh é iniciado, irá substituir serviços essenciais do Windows. Esta ameaça vem também equipada com rotinas de anti-deteção e pode eliminar soluções de anti-malware do sistema comprometido. É um malware que tem vindo a crescer.

Indústrias mais atacadas em Portugal:

Este mês, em contraciclo com a tendência global, o setor de Sistemas de Informação foi o mais atacado em Portugal, seguido pelo setor da Administração Pública/Indústria Militar.

  1. SI/VAR/Distribuidor
  2. Vendedor de Software
  3. Administração Pública/Indústria Militar

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação mantém-se como o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, a indústria das Comunicações.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. Comunicações

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. ISP/MSP

Vulnerabilidades mais exploradas

A “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais comumente explorada, afetando 46% das organizações globalmente, seguida por “Apache Log4j Remote Code Execution” que afeta 44% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 41%.

  1. Web Server Exposed Git Repository Information DisclosureVulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas. A utilização desta vulnerabilidade tem vindo a crescer.
  2. Apache Log4j Remote Code Execution (CVE-2021-44228)Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado. A utilização desta vulnerabilidade tem vindo a decrecer.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. A utilização desta vulnerabilidade tem vindo a manter-se.

Principais malwares móveis

O xLoader fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo xHelper e AlienBot.

  1. XLoader – XLoader é um spyware para Android Spyware e um Trojan Bancário desenvolvido pelo Yanbian Gang, um grupo chinês de hackers. Este malware usa o método de DNS spoofing para distribuir apps Android infetadas para recolher informação pessoal e financeira.
  2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
  3. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.