PhorpiexPhorpiex foi o malware predominante em África em abril de 2023

PhorpiexPhorpiex foi o malware predominante em África em abril de 2023 O Phorpiex afetou cerca de 35.00% das empresas africanas em abril. Setor da Consultoria foi o mais afetado por malware no mês passado no território. Maputo, 11 de maio de 2023 – A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, publicou o mais recente Índice Global de Ameaças para abril de 2023 onde os investigadores descobriram uma campanha substancial de malspam Qbot distribuída através de ficheiros PDF maliciosos, anexados a e-mails vistos em várias línguas. Entretanto, o malware Internet of Things (IoT) Mirai entrou na lista pela primeira vez num ano, depois de explorar uma nova vulnerabilidade nos routers TP-Link, e os cuidados de saúde passaram a ser o segundo setor mais explorado. A campanha Qbot, vista no mês passado, envolve um novo método de entrega em que os alvos recebem um e-mail com um anexo que contém ficheiros PDF protegidos. Quando estes são descarregados, o malware Qbot é instalado no dispositivo. Os investigadores encontraram casos em que o malspam é enviado em várias línguas diferentes, o que significa que as organizações podem ser visadas em todo o mundo. O mês passado também assistiu ao regresso do Mirai, um dos malwares IoT mais populares. Os investigadores descobriram que estava a explorar uma nova vulnerabilidade de dia zero CVE-2023-1380 para atacar routers TP-Link e adicioná-los à sua rede de bots, que tem sido utilizada para facilitar alguns dos ataques DDoS distribuídos mais perturbadores de que há registo. Esta última campanha segue-se a um extenso relatório publicado pela Check Point Research (CPR) sobre a prevalência de ataques IOT. Houve também uma mudança nos setores afetados, com os cuidados de saúde a ultrapassarem a administração pública como o segundo setor mais explorado em abril. Os ataques a instituições de saúde estão bem documentados e alguns países continuam a ser alvo de ataques constantes. Por exemplo, o grupo de cibercriminosos Medusa lançou recentemente ataques a instalações oncológicas na Austrália. O setor continua a ser um alvo lucrativo para os piratas informáticos, uma vez que lhes dá acesso potencial a dados confidenciais dos pacientes e a informações sobre pagamentos. Esta situação pode ter implicações para as empresas farmacêuticas, uma vez que pode levar a fugas de informação sobre ensaios clínicos ou novos medicamentos e dispositivos médicos. Os cibercriminosos estão constantemente a trabalhar em novos métodos para contornar as restrições e estas campanhas são mais uma prova de como o malware se adapta para sobreviver. Com o Qbot de novo na ofensiva, este facto serve para relembrar a importância de ter uma cibersegurança abrangente e de ter a devida diligência quando se trata de confiar nas origens e intenções de um e-mail. O CPR revelou ainda que a vulnerabilidade "Web Servers Malicious URL Directory Traversal" foi a mais explorada, afetando 48% das organizações a nível mundial, seguida da "Apache Log4j Remote Code Execution" com 44% e da "HTTP Headers Remote Code Execution" com um impacto global de 43%. Principais famílias de malware a nível mundial *As setas estão relacionadas com a variação na classificação em comparação com o mês anterior. O AgentTesla foi o malware mais dominante no mês passado, com um impacto de mais de 10% em organizações mundiais, seguido pelo Qbot com um impacto global de 7% e pelo Formbook, com um impacto global de 6%. 1. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como keylogger, rouba de senhas e está ativo desde 2014. O AgentTesla pode monitorizar e recolher a entrada do teclado da vítima e a área de transferência do sistema, e pode gravar screenshots e exfiltrar credenciais para uma variedade de software instalado numa máquina da vítima (incluindo Google Chrome, Mozilla Firefox e cliente de e-mail Microsoft Outlook). 2. ↓ Qbot - O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção. 3. ↔ FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C. Principais Famílias Malware em África Em África, no mês de abril, o Phorpiex manteve a sua posição de liderança, seguido pelo Qbot que subiu de posição e pelo Frombook que desceu de posição. 1. ↔ Phorpiex – O Phorpiex é um botnet (também conhecido como Trik) que tem estado ativo desde 2010 e no seu auge controlou mais de um milhão de hospedeiros infetados. É conhecida por distribuir outras famílias de malware através de campanhas de spam, bem como por alimentar campanhas de spam e sextorsão em grande escala. 2. ↑ Qbot – O Qbot AKA Qakbot é um Trojan bancário que apareceu pela primeira vez em 2008, concebido para roubar as credenciais bancárias e keystrokes de um utilizador. É frequentemente distribuído através de emails de spam e emprega várias técnicas anti-VM, anti-debugging, e anti-sandbox para dificultar a análise e evitar a deteção 3. ↓ FromBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C. Principais indústrias atacadas a nível global No mês passado, o setor Educação/Investigação continuou a ser o mais atacado a nível mundial, seguida pelos Cuidados de Saúde e Administração Pública/Defesa. 1. Educação/Investigação 2. Cuidados de Saúde 3. Administração Pública/Defesa Principais indústrias atacadas em África Em África, o setor mais atacado em abril de 2023 foi o da Consultoria, seguido dos Setores da Indústria e do Retalho. 1. Consultoria 2. Indústria 3. Retalho Principais vulnerabilidades exploradas No mês passado, o “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais explorada, com um impacto de 48% das organizações a nível mundial, seguido do “Apache Log4j Remote Code Execution”, com 44% das organizações a nível mundial impactadas e, por fim, o “HTTP Headers Remote Code Execution”, com um impacto global de 43%. ↑ Web Servers Malicious URL Directory Traversal- Existe uma vulnerabilidade de passagem de diretório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa corretamente o URI para os padrões de passagem de diretórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável. ↓ Apache Log4j Remote Code Execution (CVE-2021-44228) - Existe uma vulnerabilidade de execução de código remoto no Apache Log4j. Uma exploração bem-sucedida desta vulnerabilidade pode permitir a um atacante remoto executar código arbitrário no sistema afetado. ↓ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) - Os cabeçalhos HTTP deixam o cliente e o servidor passar informações adicionais com um pedido HTTP. Um atacante remoto pode utilizar um cabeçalho HTTP vulnerável para executar um código arbitrário no dispositivo da vítima. Top Mobile Malwares No mês passado, o Ahmyth passou para primeiro lugar como o mobile malware mais predominante, seguido pelo Anubis e pelo Hiddad. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google. Hiddad – O Hiddad é um malware Android que condiciona aplicações legítimas e depois liberta-as para uma loja de terceiros. A sua principal função é exibir anúncios, mas também pode obter acesso a detalhes chave de segurança incorporados no sistema operativo. O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. A ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies. signature_1884513386 Margarida Freitas Account Margarida.freitas@doiton.agency Praceta Tomás da Anunciação nº40 R/C , Loja 1D 2675-454 Odivelas Tel.: +351 211 929 739 Website: www.doiton.agency A close up of a sign Description automatically generated ----- CONFIDENCIALIDADE – A informação contida nesta mensagem (incluindo anexos) é confidencial e é para uso exclusivo dos destinatários. Se não for o destinatário correto do conteúdo deste email não pode efetuar cópia, distribuir, tomar qualquer tipo de ação que leve à divulgação com quem quer que seja. Se não for o destinatário correto desta mensagem, qualquer divulgação, cópia ou disseminação de informação não é autorizada e deverá eliminar/destruir todas as cópias (incluindo anexos) e notifique o emissor. Qualquer cópia ou posterior distribuição para além dos destinatários e emissor não é aceitável, é ilegal e poderá incorrer em procedimentos legais. PRIVACIDADE – A Do It On (Tábua Digital, Unipessoal, Lda) trata os dados pessoais de acordo com a Regulação da EU 679/2016. Por favor leia a nossa política de Privacidade no nosso website. CONFIDENTIALITY - Information contained in this message (including any attachments) are confidential and intended for the use of the addressee(s) only. If you are not the intended recipient of this email you must not copy, distribute, take any action in reliance on it or disclose it to anyone. If you are not the intended recipient, any disclosure, copying or dissemination of the information is unauthorised and you should delete/destroy all copies (including attachments) and notify the sender. Any copying or further distribution beyond the original addressee is not intended, and may be unlawful. PRIVACY – Do It On (Tábua Digital, Unipessoal, Lda) treats personal data according to EU 679/2016 Regulation. Please see Privacy policies in our website.