AgentTesla continua a ser o malware mais comum em Portugal

A Check Point divulgou o seu Índice Global de Ameaças relativo a abril de 2025, destacando a continuidade do malware FakeUpdates como o mais comum a nível mundial, afetando 6% das organizações, seguido de perto pelo Remcos e pelo AgentTesla.

Durante o mês de abril, os investigadores da Check Point identificaram uma campanha de malware particularmente sofisticada, em múltiplas fases, que distribui variantes como AgentTesla, Remcos e Xloader (evolução do conhecido FormBook). O ataque tem início com um email de phishing disfarçado de confirmação de encomenda, que leva a vítima a abrir um ficheiro comprimido em 7-Zip. No interior encontra-se um ficheiro .JSE (JScript Encoded) que executa um script PowerShell codificado em Base64. Este, por sua vez, ativa um executável de segunda fase, desenvolvido em .NET ou AutoIt, que injeta o malware final em processos legítimos do Windows, como RegAsm.exe ou RegSvcs.exe — uma técnica que maximiza o disfarce e dificulta a deteção.

Estes ataques refletem uma tendência crescente no cibercrime: a convergência entre malware comum e técnicas avançadas, frequentemente associadas a grupos com ligações a Estados. Ferramentas acessíveis e amplamente comercializadas, como AgentTesla ou Remcos, estão agora a ser utilizadas em cadeias de infeção altamente sofisticadas, indistinguíveis das que costumam ser associadas a espionagem ou sabotagem política.

Em Portugal, a liderança do passado mês de abril voltou a pertencer ao AgentTesla, que representou um total de 15,30% das ameaças registadas a nível nacional, sendo seguido pelo FakeUpdates com 7,08% e o Remcos com 5,94% de todas as ameaças registadas. O setor mais afetado continua a ser o da Educação/Investigação.

Em comunicado, Lotem Finkelstein, Diretor de Threat Intelligence da Check Point Software, referiu que “esta nova campanha é um exemplo claro da crescente complexidade das ameaças cibernéticas. Os atacantes estão a combinar scripts codificados, processos legítimos e cadeias de execução obscuras para permanecerem invisíveis. O que antes era considerado malware de baixo nível está agora a ser transformado em arma em operações avançadas. As organizações precisam urgentemente de adotar uma abordagem preventiva, que integre inteligência de ameaças em tempo real, inteligência artificial e análise comportamental”.

Principais famílias de malware a nível mundial

1. FakeUpdates – Também conhecido como SocGholish, o FakeUpdates é um downloader de malware que foi identificado pela primeira vez em 2018. Propaga-se através de downloads em sites comprometidos ou maliciosos, incitando os utilizadores a instalar falsas. Está associado ao grupo de hackers russo Evil Corp e serve de porta de entrada para cargas maliciosas secundárias;
2. Remcos – O Remcos é um trojan de acesso remoto (RAT) identificado em 2016, frequentemente distribuído por documentos maliciosos em campanhas de phishing. Foi concebido para contornar mecanismos de segurança do Windows e executar código com privilégios elevados;
3. AgentTesla – O AgentTesla é um RAT avançado ativo desde 2014, com funções de keylogger e roubo de credenciais. Pode recolher dados do teclado, capturas de ecrã, informações da área de transferência e credenciais de navegadores e clientes de e-mail como o Outlook.

Principais Famílias Malware em Portugal

1. AgentTesla;
2. FakeUpdates;
3. Remcos.

Principais malwares móveis a nível mundial

1. Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android. Este tem evoluído para incluir capacidades como keylogging, gravação de áudio, funções de ransomware e formas de contornar sistemas de autenticação multifator (MFA), keylogging. Distribui-se via aplicações maliciosas na Play Store;
2. AhMyth – O AhMyth é um RAT desenvolvido para Android que está disfarçado de aplicações legítimas, como gravadores de ecrã ou apps de criptomoedas. É capaz de exfiltrar dados bancários, carteiras digitais, códigos MFA, capturas de ecrã e acesso à câmara e microfone;
3. Hydra – O Hydra é um Trojan bancário concebido para roubar credenciais, pedindo permissões perigosas cada vez que a vítima acede a uma aplicação bancária.

Setores mais atacados a nível mundial  

1. Educação/Investigação;
2. Administração Pública/Defesa;
3. Telecomunicações.

Principais indústrias atacadas em Portugal

1. Educação/Investigação;
2. Telecomunicações;
3. Administração Pública/Defesa.

Principais Grupos de Ransomware 

1. Akira – Ativo desde o início de 2023, ataca sistemas Windows e Linux. Utiliza criptografia simétrica e técnicas como CryptGenRandom() e Chacha 2008. Propaga-se através de anexos maliciosos e falhas em VPNs. Após a infeção, encripta os dados e acrescenta a extensão “.akira”, exigindo um resgate para desencriptação;
2. SatanLock – O SatanLock é um novo grupo operacional bastante recente, com atividade pública desde o início de abril. Já publicou 67 vítimas, embora mais de 65% tenham sido previamente divulgadas por outros grupos, o que pode indicar reaproveitamento de dados;
3. Qilin – Referido muitas vezes como Agenda, este grupo atua usando um modelo de RaaS, e está em atividade desde julho de 2022. Desenvolvido em Golang, este grupo foca-se em grandes empresas e organizações de valor elevado, com particular incidência nos setores da saúde e educação, infiltrando-se geralmente através de e-mails de phishing com links maliciosos.