Portugal segue tendência mundial: Qbot é o malware predominante em março de 2023

O Qbot afetou cerca de 13,7% das empresas portuguesas em março e o setor das comunicações foi o mais lesado por malware em território nacional. Os dados são da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor de soluções de cibersegurança a nível global, que publicou o Índice Global de Ameaças, referente a março de 2023.

Os dados mostram que o malware Qbot, desenhado para roubar credenciais bancárias, foi o que mais afetou as empresas mundialmente. Também no mês passado, os investigadores descobriram uma nova campanha de malware para o Emotet Trojan, que se tornou o segundo malware mais predominante.

De acordo com a Check Point® Software Technologies Ltd, os atacantes do Emotet têm vindo a explorar formas alternativas de distribuir ficheiros maliciosos desde que a Microsoft anunciou que irá bloquear macros de ficheiros de escritório. “Na última campanha, os atacantes adotaram uma nova estratégia de envio de emails de spam contendo um ficheiro OneNote malicioso. Uma vez aberto o email, uma mensagem falsa aparece para enganar a vítima e fazer com que esta clique no documento, o qual descarrega a infeção Emotet. Depois de instalado, o malware pode recolher dados de correio eletrónico do utilizador, tais como credenciais de login e informações de contacto. Os atacantes utilizam então a informação recolhida para expandir o alcance da campanha e facilitar futuros ataques”, refere em comunicado a fornecedora de soluções de cibersegurança.

Maya Horowitz, VP Research na Check Point Software, alerta as empresas para se certificarem de que têm instalada uma “segurança apropriada para o e-mail, que evitem descarregar quaisquer ficheiros inesperados e que adotem ceticismo acerca das origens de um e-mail e do seu conteúdo”.

A CPR também revelou que o “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, com um impacto de 44% nas organizações a nível mundial, seguido do “HTTP Headers Remote Code Execution” com um impacto em 43% das empresas. A ocupar o terceiro lugar está o “MVPower DVR Remote Code Execution”, com um impacto global de 40%.

A empresa dá a conhecer as principais famílias de malware nacionais e mundiais e as principais indústrias afetadas.

Principais famílias de malware a nível mundial

*As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.

O Qbot foi o malware mais dominante no mês passado, com um impacto de mais de 10% em organizações mundiais, seguido pelo Emotet e pelo Formbook, com um impacto global de 4%.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↑ Emotet – O Emolet é um Trojan avançado, auto-propagador e modular. Já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.
3. ↓ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C.

Principais Famílias Malware em Portugal

Em Portugal, o Qbot continua a ocupar a posição de líder, seguido pelo agente Tesla, que manteve a sua posição a nível regional, de acordo com o relatório do mês de março. O Formbook, que no mês passado ocupava o terceiro lugar, foi destronado para quarto lugar, superado pelo XMRig.

1. ↔ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção.
2. ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). O AgentTesla é vendido em vários mercados online e fóruns de hacking.
3. ↑ XMRig – O XMRig é um software CPU de código aberto utilizado para extrair a criptomoeda Monero. Os atores da ameaça abusam frequentemente deste software de código aberto, integrando-o no seu malware, para conduzir este processo ilegal nos dispositivos das vítimas.

Principais indústrias atacadas a nível global

No mês passado, o setor Educação/Investigação continuou a ser o mais atacado a nível mundial, seguida pelo da Administração/Defesa e depois pelos Cuidados de Saúde. Este Top 3 permanece igual ao do mês de fevereiro.

1. Educação/Investigação
2. Administração Pública/Defesa
3. Cuidados de Saúde

Principais indústrias atacadas em Portugal

Em Portugal, o setor mais atacado em março de 2023 foi o das Comunicações, mas a segunda e terceira posições são iguais ao Top Mundial, com o setor da Administração Pública/Defesa e o setor dos Cuidados de Saúde.

1. Comunicações
2. Administração Pública/Defesa
3. Cuidados de Saúde

O Índice Global de Ameaças da Check Point e o seu Mapa ThreatCloud é produzido pela inteligência ThreatCloud da Check Point.