A Check Point Research acaba de lançar o report top malware mensal do mês de setembro 2022. A CPR assinala que enquanto o Formbook permanece como o malware mais prevalente, com impacto em 3% das organizações em todo o mundo, Vidar está agora na oitava posição, com sete lugares acima de agosto. Em Portugal o malware mais prevalente foi o Vidar, que afetou 13,2% das organizações portuguesas, o setor da saúde foi novamente o setor mais afetado.
Vidar é um infostealer concebido para dar aos autores das ameaças acesso de backdoor, permitindo-lhes roubar informação bancária sensível, credenciais de login, endereços IP, histórico do browser e contas de criptomoedas a partir de dispositivos infetados. O aumento da sua prevalência deve-se a uma campanha maliciosa em que falsos websites Zoom, tais como zoomus[.]website and zoom-download[.]espaço, foram utilizados para atrair utilizadores inocentes para efetuar o download do malware. O Formbook, um infostealer que visa o SO Windows, continua em primeiro lugar.
Desde o início da guerra entre a Rússia e a Ucrânia, a CPR continua a acompanhar o impacto dos ciberataques em ambos os países. Enquanto o conflito se intensifica, o Índice Global de Ameaças da CPR para setembro registou uma mudança significativa no “grau de ameaça” de muitos países da Europa de Leste.
O grau de ameaça representa o quanto uma organização está a ser atacada num país específico em comparação com o resto do mundo. Durante o mês de setembro, a Ucrânia tinha saltado 26 lugares, a Polónia e a Rússia subiram 18 lugares cada, e tanto a Lituânia como a Roménia subiram 17 lugares, entre outros. Todos estes países estão agora entre os 25 primeiros, tendo a maior degradação na sua classificação ocorrido no mês passado. Já Portugal subiu 30 lugares nesta lista, passando do lugar 77 para o lugar 47.
“Tal como a guerra no terreno continua, o mesmo acontece com a guerra no ciberespaço. Não é provavelmente coincidência que as categorias das ameaças de muitos países da Europa Oriental tenham aumentado neste último mês. Todas as organizações estão em risco e devem mudar para uma estratégia de segurança cibernética preventiva antes que seja tarde demais. Em termos dos malwares mais prevalentes em Setembro, é interessante ver Vidar saltar para o top dez após uma longa ausência. Os utilizadores do Zoom necessitam de ficar atentos a ligações fraudulentas, pois é assim que o malware Vidar tem sido distribuído ultimamente. Esteja sempre atento a inconsistências ou palavras mal soletradas no URL. Se parecer suspeito, provavelmente é”.
Maya Horowitz, VP Research na Check Point.
A CPR também revelou que o “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações a nível mundial, seguida de perto pelo “Apache Log4j Remote Code Execution” que caiu de primeiro para segundo, com um impacto de 42%. Setembro também viu a Educação/Pesquisa permanecer em primeiro lugar como a indústria mais atacada a nível mundial.
Principais Famílias Malware em Portugal
*As setas estão relacionadas com a mudança de classificação em relação ao mês anterior.
Portugal fugiu à tendência mundial com o Vidar, que foi o malware mais difundido este mês, com um impacto de 13,2% nas organizações nacionais, seguido pelo Formbook e do NanoCore com 5,25% e 3,66% respetivamente.
- ↑ Vidar – O Vidar é um infostealer que tem como alvo os sistemas operativos Windows. Detetado pela primeira vez no final de 2018, foi concebido para roubar palavras-passe, dados de cartões de crédito e outras informações sensíveis de vários navegadores web e carteiras digitais. O Vidar é vendido em vários fóruns online e utilizado como um conta-gotas de malware para descarregar o GandCrab ransomware como a sua carga útil secundária.
- ↔ Formbook – Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↑ NanoCore – O NanoCore é um Trojan de Acesso Remoto que tem como alvo os utilizadores do sistema operativo Windows, foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas tais como captura de ecrã, extração de criptomoedas, controlo remoto do desktop e furto de sessão de webcam.
Principais famílias a nível Mundial
- ↔Formbook – Formbook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground pelas suas fortes técnicas de evasão e preço relativamente baixo. FormBook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas, e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.
- ↑ XMRig –O XMRig é um open-source CPU software utilizado para a mineração da criptomoeda Monero. Os autores das ameaças abusam frequentemente deste software open-source, integrando-o no seu malware, para conduzirem a mineração ilegal nos dispositivos das vítimas.
- ↓ AgentTesla- O AgentTesla é um RAT avançado que funciona como keylogger e password stealer que se encontra ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e capturar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
Principais indústrias atacadas a nível mundial
Este mês o sector da Educação/Investigação permaneceu em primeiro lugar como a indústria mais atacada a nível mundial, seguido do Administração Pública/Defesa e dos Cuidados de Saúde.
- Educação/Investigação
- Administração Pública/Defesa
- Cuidados de Saúde
Principais indústrias atacadas em Portugal
Em Portugal a saúde é a indústria mais atacada a, seguida das Utilities e da educação/investigação
- Saúde
- Utilities
- Educação/Investigação
Principais Vulnerabilidades Exploradas
Este mês, o “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais frequentemente explorada, com impacto em 43% das organizações a nível mundial. É seguido pelo “Apache Log4j Remote Code Execution” que caiu do primeiro para o segundo lugar e tem um impacto de 42% nas organizações. O “Linux System Files Information Disclosure” salta para o terceiro lugar, com um impacto global de 40%.
- ↑ Web Server Exposed Git Repository Information Disclosure – Foi relatada uma vulnerabilidade na divulgação de informação no Git Repository. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a divulgação não intencional de informação de conta.
- ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade poderia permitir a um atacante remoto executar código arbitrário no sistema afetado.
- ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Foi relatado um command Injection over HTTP vulnerability. Um hacker remoto pode explorar esta vulnerabilidade enviando um pedido especialmente elaborado à vítima. Uma exploração bem-sucedida permitiria a um hacker executar um código arbitrário na máquina alvo.
Top Mobile Malwares
Este mês, o Anubis saltou para o primeiro lugar como o malware móvel mais difundido, seguido pelo Hydra e o Joker.
- Anubis – Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger e capacidades de gravação de áudio, bem como várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.
- Hydra – Hydra é um Trojan bancário concebido para roubar credenciais financeiras, solicitando às vítimas permissões perigosas.
- Joker -O Joker é um Spyware Android presente na Google Play, concebido para roubar mensagens SMS, listas de contactos e informações de dispositivos. Além disso, o malware também pode inscrever a vítima em serviços premium pagos sem o seu consentimento ou conhecimento.
O Check Point’s Global Threat Impact Index e o seu Mapa ThreatCloud é alimentado pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaça em tempo real derivada de centenas de milhões de sensores em todo o mundo, através de redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, The Intelligence & Research Arm of Check Point Software Technologies.
👍🏻 Outros artigos interessantes: