Emotet volta ao topo da lista de ameaças

Passados dois meses e meio após o seu regresso, o Emotet volta ao lugar de topo. A Check Point Research (CPR) publicou o já habitual Índice Global de Ameaças referente a janeiro de 2022, no qual os investigadores alertam para o regresso do Emotet ao primeiro lugar da lista mundial, destronando o Trickbot. O ranking português segue a tendência, com o Emotet a impactar 11% das organizações portuguesas.

O botnet Emotet é habitualmente disseminado através de emails de phishing com anexos ou links maliciosos, e o seu crescimento foi impulsionado pela prevalência do Trickbot entre as ameaças mais frequentes, funcionando como catalisador e contribuindo para a disseminação do malware.

“Não surpreende que o Emotet esteja de volta em grande forma. É um malware evasivo, é difícil de detetar, e utiliza múltiplos métodos para infetar redes, o que contribui ainda mais para o crescimento desta ameaça. É pouco provável que este seja um problema resolvido a curto prazo”, afirma Maya Horowitz, VP Research na Check Point Software.

O Índice indica, ainda, que o Dridex já não consta do top 10 de ameaças, tendo sido substituído pelo Lokibot, um InfoStealer utilizado para obter dados pessoais, como credenciais de email, palavras-passe para wallets de CryptoCoin e servidores FTP. “Este mês, vimos também o Dridex desaparecer do top10 de ameaças e o Lokibot a reaparecer. O Lokibot aproveita-se das vítimas nos seus momentos mais frágeis, sendo distribuído através de e-mails de phishing muito bem escritos. Estas ameaças, juntamente com a batalha em curso com a vulnerabilidade do Log4j, sublinham a importância de contar com as melhores soluções de segurança de rede, cloud, mobile e endpoints de utilizador”, acrescenta Maya Horowitz.

A Saúde foi o setor mais atacado em Portugal, seguido da Educação/Investigação e, em terceiro lugar, as Utilities. Na Europa, o top é liderado pelo setor da Educação/Investigação, seguido da Administração Pública/Setor Militar e as Comunicações, e, no mundo, o setor da Educação/Investigação mantém-se o mais atacado, seguido da Administração Pública/Setor Militar e do setor ISP/MSP. 

Principais famílias de malware

Este mês, o Emotet é o malware mais perigoso do mundo, com um impacto de 6% das organizações do mundo. É seguido de perto pelo Trickbot, com um impacto de 4%, e pelo Formbook, com um impacto de 3%. Também em Portugal a lista é liderada pelo Emotet, com um impacto nacional de 11%. Seguem-se o AgentTesla, um trojan de acesso remoto que funciona como keylogger e que em Portugal impactou 4% das organizações; e o XMRig, um software de mineração de criptomoeda com um impacto de 3%.

1. Emotet - Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos. 
2. Trickbot - Trojan bancário dominante que está constantemente a ser atualizado com novas capacidades, funcionalidades e vetores de distribuição, o que lhe permite uma flexibilidade e personalização que, por sua vez, facilitam a sua distribuição em campanhas com variados propósitos.
3. Formbook – Info Stealer que coleta credenciais de vários navegadores, capturas de ecrã, monitoriza e regista as teclas digitadas, podendo ainda fazer download e executar ficheiros de acordo com comandos C&C.

Principais vulnerabilidades exploradas

Este mês, a Apache Log4j Remote Code Execution é a vulnerabilidade mais comumente explorada, afetando 47.4% das organizações globalmente, seguida pela Web Server Exposed Git Repository Information Disclosure que afeta 45% das organizações em todo o mundo. A HTTP Headers Remote Code Execution permanece em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42%.

1. Apache Log4j Remote Code Execution (CVE-2021-44228) – Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.
2. Web Server Exposed Git Repository Information Disclosure – Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.
3. HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Permite a passagem de informações adicionais com uma solicitação HTTP. Um atacante remoto pode utilizar um Header HTTP vulnerável para correr qualquer código no dispositivo da vítima. 

Principais malwares móveis

Este mês, o xHelper fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo AlienBot e pelo FluBot.

1. xHelper – Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar. 
2. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.
3. FluBot – Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.