FakeUpdates foi o malware mais presente durante o mês de abril

A Check Point publicou o seu Índice Global de Ameaças relativo a abril de 2024. No mês em questão, os investigadores revelaram um aumento significativo no uso de ataques Androxgh0st, com o malware a ser usado como uma ferramenta para roubar informações confidenciais utilizando botnets. Entretanto, o LockBit3 continuou a ser o grupo de ransomware mais dominante em abril, apesar de uma queda de 55% na sua taxa de deteção desde o início do ano, com o seu impacto mundial a reduzir-se de 20% para 9%.

Os investigadores têm vindo a monitorizar as atividades do agente de ameaça Androxgh0st desde o seu aparecimento em dezembro de 2022. Explorando vulnerabilidades como a CVE-2021-3129 e a CVE-2024-1709, os atacantes implementam web shells para controlo remoto, concentrando-se na construção de botnets para roubo de credenciais. Este facto foi referido num Cybersecurity Advisory conjunto emitido pelo FBI e pela CISA. Em particular, este operador de malware foi associado à distribuição do ransomware Adhublika. Os atores da Androxgh0st demonstraram uma preferência pela exploração de vulnerabilidades em aplicações Laravel para roubar credenciais de serviços baseados em cloud, como AWS, SendGrid e Twilio. Indicações recentes sugerem uma mudança de foco para a construção de botnets para uma exploração mais ampla do sistema.

Entretanto, o Índice da Check Point destaca as informações dos “shame sites” geridos por grupos de ransomware de dupla extorsão que publicam informações sobre as vítimas para pressionar os alvos que não pagam. O LockBit3 volta a liderar a classificação com 9% dos ataques publicados, seguido do Play com 7% e do 8Base com 6%. O 8Base, que voltou a entrar no top 3, afirmou recentemente ter-se infiltrado nos sistemas informáticos das Nações Unidas e exfiltrado informações sobre recursos humanos e aquisições. Embora o LockBit3 continue em primeiro lugar, o grupo sofreu vários contratempos. Em fevereiro, o website foi apreendido no âmbito de uma campanha multi-agências denominada Operação Cronos e, este mês, os mesmos organismos internacionais de aplicação da lei publicaram novos pormenores, identificando 194 filiais que utilizam o LockBit3, bem como o reconhecimento e a sanção do líder do grupo.

Principais famílias de malware a nível mundial

1. FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult;
2. Androxgh0st – O Androxgh0st é um botnet que tem como alvo as plataformas Windows, Mac e Linux. Para a infeção inicial, o Androxgh0st explora várias vulnerabilidades, visando especificamente o PHPUnit, o Laravel Framework e o Apache Web Server. O malware rouba informações sensíveis, tais como informações da conta Twilio, credenciais SMTP, chave AWS, etc. Utiliza ficheiros Laravel para recolher as informações necessárias. Tem diferentes variantes que procuram informações diferentes;
3. Qbot - O Qbot AKA Qakbot é um malware multiuso que apareceu pela primeira vez em 2008. Foi concebido para roubar as credenciais de um utilizador, gravar as teclas premidas, roubar cookies dos navegadores, espiar as atividades bancárias e instalar malware adicional. Frequentemente distribuído por correio eletrónico de spam, o Qbot utiliza várias técnicas anti-VM, anti-depuração e anti-sandbox para dificultar a análise e evitar a deteção. Com início em 2022, surgiu como um dos trojans mais prevalecentes. 

Principais Famílias Malware em Portugal

1. FakeUpdates;
2. CloudEyE – O CloudEye é um downloader que tem como alvo a plataforma Windows e é usado para descarregar e instalar programas maliciosos nos computadores das vítimas;
3. Qbot.

Principais malwares para dispositivos móveis

1. Anubis – O Anubis é um malware Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade de Trojan de Acesso Remoto (RAT), keylogger, capacidades de gravação de áudio e várias características de ransomware. Foi detetado em centenas de aplicações diferentes disponíveis na Google Store;
2. AhMyth - O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários sites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informações sensíveis do dispositivo e executar ações como o registo de teclas, tirar screenshots, enviar mensagens SMS e ativar a câmara, que é normalmente utilizada para roubar informações sensíveis;
3. Hiddad – O Hiddad é um malware para Android que reúne aplicações legítimas e depois lança-as numa loja de terceiros. A sua principal função é apresentar anúncios, mas também pode obter acesso a detalhes de segurança importantes incorporados no sistema operativo.

Principais indústrias atacadas a nível global  

1. Educação/Investigação;
2. Administração Pública/Defesa;
3. Cuidados de Saúde.

Principais indústrias atacadas em Portugal

1. Cuidados de Saúde;
2. Educação/Investigação;
3. Telecomunicações.