Malware Agent Tesla afetou 21% das empresas em agosto

A Check Point Research publicou o seu mais recente Índice Global de Ameaças de agosto, que indica que, ao fim de alguns meses, o Emotet não foi o malware que mais impactou as empresas, mas o Formbook. No entanto, em Portugal, o Agent Tesla manteve-se como o malware mais prevalecente no mês de agosto com cerca de 21% das empresas afetadas. 

Em Portugal, o Agent Tesla foi o malware mais difundido este mês, com um impacto de 21% das organizações em todo o mundo, seguido pelo Formbook e o Guloader com 9,66% cada. A nível mundial, o FormBook foi o malware mais difundido este mês, com um impacto de 5% das organizações em todo o mundo, seguido pelo AgentTesla com um impacto de 4% e XMRig com 2%.

O AgentTesla é um RAT avançado que funciona como keylogger e password stealer que se encontra ativo desde 2014, que pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e recolher credenciais de uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de email Microsoft Outlook). O Agent Tesla é vendido em vários mercados online e fóruns de hacking. 

O FormBook é um infostealer que visa o SO Windows que, uma vez implantado, pode recolher credenciais, recolher capturas de ecrã, monitorizar e registar as teclas, bem como descarregar e executar ficheiros de acordo com as suas ordens de comando e controlo (C&C). Desde que foi detetado pela primeira vez em 2016, tem continuado a fazer nome, comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking underground, conhecido pelas suas fortes técnicas de evasão e preço relativamente baixo.

Agosto também assistiu a um rápido aumento na atividade do GuLoader, o que teve como resultado ser o quarto malware mais difundido. O GuLoader foi inicialmente utilizado para descarregar o Parallax RAT mas desde então tem sido aplicado a outros trojans de acesso remoto e infostealers tais como Netwire, FormBook e Agent Tesla. É geralmente distribuído através de extensas campanhas de phishing por correio eletrónico, que atraem a vítima para descarregar e abrir um ficheiro malicioso, permitindo que o malware comece a funcionar.

Além disso, a CPR informa que o Joker, um spyware Android, está de volta ao ativo e reivindicou o terceiro lugar na lista top mobile malware este mês. Uma vez instalado, o Joker pode roubar mensagens SMS, listas de contactos e informações de dispositivos, bem como inscrever a vítima em serviços premium pagos sem o seu consentimento. O seu aumento pode ser parcialmente explicado por um aumento nas campanhas, uma vez que foi recentemente detetado para estar ativo em algumas aplicações da Google Play Store.

“As mudanças que vemos no índice deste mês, do Emotet caindo do primeiro para o quinto lugar para o Joker se tornar o terceiro malware móvel mais prevalente, reflectem a rapidez com que o cenário de ameaças pode mudar”, afirma Maya Horowitz, VP Research na Check Point Software. “Isto deve ser um lembrete, tanto para indivíduos como para empresas, da importância de se manterem atualizados em relação às ameaças mais recentes, uma vez que é essencial saber como se proteger. Os autores das ameaças estão em constante evolução e a emergência do FormBook mostra que nunca podemos ser complacentes com a segurança e devemos adoptar uma abordagem holística, preventiva e primeira abordagem através de redes, endpoints e da cloud”, completa.

A CPR revelou, também, que o setor da Educação/Investigação é, ainda, a indústria mais visada pelos cibercriminosos a nível mundial. Com a Administração Pública/Defesa e a Saúde a ocuparem o segundo e terceiro lugares como os sectores mais atacados. O Apache Log4j Remote Code Execution regressa ao primeiro lugar como a vulnerabilidade mais explorada, com impacto em 44% das organizações em todo o mundo, após ultrapassar o Web Server Exposed Git Repository Information Disclosure, que teve um impacto de 42%. Em Portugal, o setor mais afetado, foi o setor da Saúde, seguido do setor da Educação/Investigação, e, em terceiro lugar, das Utilities. 

Este mês, o Apache Log4j Remote Code Execution foi a vulnerabilidade mais explorada, com impacto em 44% das organizações a nível mundial, seguido pelo Web Server Exposed Git Repository Information Disclosure, que caiu de primeiro para segundo com um impacto de 42%. A Web Servers Malicious URL Directory Traversal continua em terceiro lugar, com um impacto global de 39%.

Em agosto, o AlienBot foi o malware móvel mais predominante, seguido pelo Anubis e o Joker. O AlienBot é um Trojan bancário para Android, vendido no mercado negro como um Malware-as-a-Service (MaaS). Suporta keylogging, sobreposições dinâmicas para roubo de credenciais, bem como colheita de SMS para desvio 2FA. Capacidades adicionais de controlo remoto são fornecidas através da utilização de um módulo TeamViewer.

Já o Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger e capacidades de gravação de áudio, bem como várias funcionalidades de resgate. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google.

Finalmente, o Joker é um Spyware Android presente na Google Play, concebido para roubar mensagens SMS, listas de contactos e informações de dispositivos. Além disso, o malware também pode inscrever a vítima em serviços premium pagos sem o seu consentimento ou conhecimento.