Pascoa está a ser usada por cibercriminosos com malware Emotet

Em Portugal 13% das organizações foram afetadas pelo malware Emotet, em março. Seguindo-se o Agent Tesla e o malware Mirai com um impacto de 5% e 3%, respetivamente. Investigadores da Check Point alertam para aumento de esquemas de Phishing relacionados com a Páscoa.

Pascoa está a ser usada por cibercriminosos com malware Emotet
Pascoa está a ser usada por cibercriminosos com malware Emotet. Foto: Rosa Pinto

O malware Emotet está em primeiro lugar da lista mundial ao afetar 10% das organizações, em março de 2022, o dobro das organizações que afetou em fevereiro. Em Portugal o Emotet também segue a tendência, mundial ao afetar 13% das organizações portuguesas. Os dados são do departamento de investigação da empresa de soluções de cibersegurança Check Point.

O Emotet é um trojan avançado, auto propagador e modular que utiliza múltiplos métodos para manter a persistência e técnicas de evasão para evitar a deteção. Desde o seu regresso em novembro de 2021 e a recente notícia de que o Trickbot foi encerrado, o Emotet tem vindo a reforçar a sua posição como o malware mais prevalecente.

Este malware mostrou-se consolidado em março. As muitas campanhas de e-mail agressivas têm vindo a distribuir botnet, incluindo vários esquemas de phishing temáticos sobre a Páscoa, explorando todo movimentar das festividades. E-mails que são enviados a vítimas em todo o mundo, e um desses e-mails utilizava como assunto “Boa Páscoa, Happy Easter”, com um anexo, um ficheiro XLS malicioso para implementar o Emotet.

Este mês, o agente Tesla, o avançado RAT que funciona como keylogger e rouba informação, é o segundo malware mais prevalecente no mundo, depois de aparecer em quarto lugar no índice do mês passado. O aumento do Agent Tesla deve-se a várias novas campanhas de mail-spam que distribuem o RAT através de ficheiros maliciosos xlsx/pdf em todo o mundo. Algumas destas campanhas têm aproveitado o tema guerra Rússia/Ucrânia para atrair vítimas.

“A tecnologia avançou nos últimos anos de tal forma que os cibercriminosos estão cada vez mais a ter de depender da confiança humana para poderem passar por uma rede corporativa. Através dos seus e-mails de phishing em torno das férias sazonais como a Páscoa, são capazes de explorar o burburinho das festividades e atrair as vítimas para o download de anexos maliciosos que contêm malwares como o Emotet, referiu Maya Horowitz, VP Research na Check Point Software

“Este mês observámos também que o Apache Log4j se tornou novamente o número um em vulnerabilidades mais exploradas. Mesmo depois de toda a conversa sobre esta vulnerabilidade no final do ano passado, a vulnerabilidade ainda está a causar danos meses após a sua deteção inicial. As organizações precisam de tomar medidas imediatas para evitar a ocorrência de ataques”, concluiu Maya Horowitz.

A equipa de investigadores da Check Point revela que neste este mês a Saúde é o setor mais atacado em Portugal, a que se segue o da Educação/Investigação e, em terceiro lugar, o setor Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações. A nível global, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar.

A vulnerabilidade “Apache Log4j Remote Code Execution” é ainda a mais comumente explorada, com impacto global de 33% das organizações, seguida da “Web Server Exposed Git Repository Information Disclosure”, que impactou 26% das organizações do mundo. Em terceiro lugar, a “HTTP Headers Remote Code Execution”, continua em terceiro com um impacto global de 26%.

Famílias de malware mais prevalentes em março

Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%.

Em Portugal, a lista é liderada pelo Emotet, com um impacto nacional de 13,08%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4,64% das organizações; e o Mirai, um infame malware que rastreia dispositivos IoT vulneráveis, com um impacto de 3,27%.

  1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
  2. Agent Tesla O Agent Tesla é um avançado RAT que funciona como keylogger e roubador de informação, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, tirar capturas de ecrã, e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).
  3. Mirai – Mirai é um infame malware da Internet das coisas (IoT) que segue dispositivos IoT vulneráveis, tais como câmaras Web, modems e routers, e transforma-os em robots.

Nota: As setas estão relacionadas com as mudanças de posição no ranking comparativamente ao mês anterior

Indústrias mais atacadas em Portugal:

Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

  1. Saúde
  2. Educação/Investigação
  3. Utilities

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, as Utilities.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. Utilities

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

  1. Educação/Investigação
  2. Administração Pública/Indústria Militar
  3. ISP/MSP

Vulnerabilidades mais exploradas

Este mês, a “Apache Log4j Remote Code Execution” é a vulnerabilidade mais comumente explorada, afetando 33% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 26% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 26%.

  1. Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
  2. ↔ Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
  3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima.

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo xHelper e pelo FluBot.

  1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
  2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.
  3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

O Índice de Impacto Global de Ameaças e o ThreatCloud Map da Check Point Software são proporcionados pela inteligência da ThreatCloud. A ThreatCloud fornece threat inteligence em tempo real derivada de centenas de milhões de sensores em todo o mundo, sobre redes, endpoints e dispositivos móveis. A inteligência é enriquecida por mecanismos IA e dados de investigação exclusivos da Check Point Research, área de Threat Intelligence da Check Point Software Technologies.