Trickbot permanece como malware mais popular a nível global

Chegado o fim do mês, a Check Point Research (CPR) voltou a publicar o Índice Global de Ameaças referente a novembro de 2021. Os investigadores relatam que o Trickbot permanece no topo da lista de malware a nível mundial, afetando 5% das organizações. Contudo, é de destacar o reaparecimento do Emotet que regressa ao índice global para ocupar a sétima posição. Em Portugal, as tendências distinguiram-se do resto do mundo, com o Agent Tesla a encabeçar a lista, impactando 8% das organizações nacionais. 

Apesar dos esforços da Europol e de vários agentes legais para, no início deste ano, desmantelar o Emotet, o botnet voltou à atividade em novembro e é já o sétimo malware mais utilizado. Este mês, o Trickbot lidera o índice pela sexta vez, estando, inclusivamente, envolvido com a nova variante do Emotet, que tem vindo a ser instalada em máquinas infetadas utilizando a infraestrutura do Trickbot.

O Emotet está a ser disseminado através de e-mails de phishing que contêm ficheiros Word, Excel e Zip infetados que implantam o Emotet no dispositivo da vítima. Os assuntos atribuídos aos e-mails são, por norma, intrigantes, como eventos noticiosos atuais, faturas e memorandos corporativos falsos que incitam as vítimas a abri-los. Mais recentemente, o Emotet começou a disseminar-se através de pacotes maliciosos do Windows App Installer que se fazem passar pelo software Adobe. “O Emotet é um dos botnets de maior sucesso na história do ciberespaço e é responsável pela explosão de ataques de ransomware direcionados que testemunhamos nos últimos anos”, afirma Maya Horowitz, VP Research at Check Point Software.

Além disso, “o retorno do botnet em novembro é extremamente preocupante, pois pode levar a um aumento desses ataques. O facto de estar a utilizar a infraestrutura do Trickbot significa que o tempo que levaria ao Emotet para construir uma base significativa o suficiente em redes ao redor do mundo está a encurtar. Como está a ser espalhado por meio de e-mails de phishing com anexos maliciosos, é crucial que a consciencialização e educação do utilizador estejam no topo das prioridades das organizações quando se trata de cibersegurança. E qualquer pessoa que queira fazer o download do software da Adobe deve ter em conta, como acontece com qualquer outra aplicação, que deve fazê-lo apenas por meio de fontes oficiais”, completa.

Principais famílias de malware em Portugal

Este mês, o Trickbot é o malware mais popular, afetando 5% das organizações em todo o mundo, seguido pelo Agent Tesla e Formbook, ambos com um impacto global de 4%. Já em Portugal, o top alterou-se ligeiramente em comparação com os registos globais. Destacou-se o Agent Tesla, com um impacto nacional de 8%, seguido do Formbook, responsável por impactar 5% das organizações portuguesas e, em terceiro lugar, o XMRig, um software de mineração de criptomoeda que afetou 4% das empresas em Portugal.

1. Trickbot – Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
2. Agent Tesla – Trojan de Acesso Remoto que funciona como keylogger e extrator de informação, que é capaz de monitorizar e coligir a digitação de teclado do utilizador, o sistema do teclado, capturar imagens de ecrã, e extrair credenciais de diversos softwares instalados no dispositivo da vítima, incluindo Google Chrome, Mozilla Firefox e Microsoft Outlook. 
3. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Principais vulnerabilidades exploradas

Este mês, “Web Servers Malicious URL Directory Traversal” ainda é a vulnerabilidade mais comumente explorada, afetando 44% das organizações globalmente, seguida por “Web Server Exposed Git Repository Information Disclosure” que afeta 43,7% das organizações em todo o mundo. “HTTP Headers Remote Code Execution” permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor web que não higieniza devidamente o URL para os padrões de travessia de diretório. A sua exploração bem-sucedida permite aos atacantes remotos não autenticados revelar ou aceder a ficheiros arbitrários no servidor vulnerável.
2. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. 

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar nos malwares móveis mais prevalentes, seguido por xHelper e FluBot.

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
2. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

Principais indústrias atacadas em Portugal

1. Educação/Investigação
2. Saúde
3. Setor jurídico

Principais indústrias atacadas globalmente

1. Educação/Investigação
2. Comunicações
3. Administração Pública/Indústria Militar