10 de fevereiro de 2025

Phorpiex manteve-se como malware dominante em África em Novembro

O AsyncRAT é um Remote Access Trojan (RAT) conhecido pela sua capacidade de monitorizar e controlar remotamente os sistemas informáticos sem ser detectado. O malware, que ficou em sexto lugar na lista dos dez melhores do mês passado, utiliza vários formatos de ficheiros, como o PowerShell e o BAT, para efectuar a injecção de processos. Na campanha do mês passado, os destinatários receberam um e-mail com uma ligação incorporada. Uma vez clicada, a hiperligação desencadeava o download de um ficheiro HTML malicioso, e consequentemente uma sequência de eventos que permitia ao malware camuflar-se como uma aplicação de confiança para evitar a detecção. 

Entretanto, o downloader FakeUpdates voltou a entrar para o topo da lista de malware, após uma pausa de dois meses. Escrita em JavaScript, a estrutura de distribuição do malware utiliza sites comprometidos para enganar os utilizadores e fazê-los executar falsas actualizações do navegador. Este malware levou a um maior envolvimento de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. 

“As ciberameaças de Novembro demonstram como os agentes de ameaças utilizam métodos aparentemente inócuos para se infiltrarem nas redes. A ascensão da campanha AsyncRAT e o ressurgimento do Fake Updates destacam uma tendência em que os atacantes usam uma simplicidade enganosa para contornar as defesas tradicionais. Isto sublinha a necessidade de as organizações adoptarem uma abordagem de segurança em camadas que não se baseiem apenas no reconhecimento de ameaças conhecidas, mas que também tenha a capacidade de identificar, prevenir e responder a novos vectores de ataque antes de causarem danos”, diz Maya Horowitz, VP de Investigação da Check Point Software.

 Em África, em Novembro de 2023, o Phorpiex manteve o primeiro lugar do pódio. Afectando 17,39% das organizações. Em termos de sectores, também não houve alterações no primeiro lugar: o sector das Telecomunicações manteve a liderança. 

A CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afectando 45% das organizações ao nível mundial, seguida da “Web Servers Malicious URL Directory Transversal” com 42%. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%.

 

Principais famílias de malware a nível mundial    

   *As setas estão relacionadas com a variação na classificação em comparação com o mês anterior.  

FormBook foi o malware mais dominante no mês passado, com um impacto de 3% nas organizações mundiais, seguido do FakeUpdates, com um impacto global de 2% e do Remcos, com um impacto global de 2%.  

 FormBook – O FormBook é um Infostealer que tem como alvo o SO Windows e foi detetado pela primeira vez em 2016. É comercializado como Malware as a Service (MaaS) em fóruns de hacking subterrâneo pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe screenshots, monitoriza e regista toques de teclas e pode descarregar e executar ficheiros de acordo com as encomendas do seu C&C. 

↑ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Grava os payloads no disco antes de os lançar. O FakeUpdates levou a um maior envolvimento através de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. 

↔ Remcos – Remcos é um RAT que apareceu pela primeira vez em 2016. O Remcos distribui-se através de documentos maliciosos do Microsoft Office, que são anexados a emails de SPAM e é projectado para contornar a segurança do Microsoft Windows UAC e executar malware com privilégios de alto nível.

 

 

Principais Famílias Malware em África    

Em África, no mês de Novembro, o Phorpiex permaneceu na liderança, seguido pelo Snatch e pelo AsyncRat 

 Phorpiex – O Phorpiex é um botnet (também conhecido como Trik) que tem estado ativo desde 2010 e no seu auge controlou mais de um milhão de hospedeiros infetados. É conhecida por distribuir outras famílias de malware através de campanhas de spam, bem como por alimentar campanhas de spam e sextorsão em grande escala.

↑ Snatch – O Snatch é um grupo de ransomware como serviço (RaaS) e malware, que opera num modelo de extorsão dupla, roubando e encriptando os dados da vítima para fins de extorsão.  O Snatch opera desde 2018.

↑ AsyncRat – O Asyncrat é um Trojan que tem como alvo a plataforma Windows. Este malware envia informações sobre o sistema alvo para um servidor remoto. Recebe comandos do servidor para descarregar e executar plugins, matar processos, desinstalar-se/actualizar-se e capturar imagens de ecrã do sistema infectado.

 

Principais indústrias atacadas a nível global       

No mês passado, o pódio de indústrias voltou a ficar inalterado. O setor da Educação/Investigação continuou em primeiro lugar como a indústria mais atacada a nível global, seguido do setor das Telecomunicações e do sector Administração Pública/Defesa.   

  1. Educação/Investigação 
  2. Telecomunicações  
  3. Administração Pública/Defesa

Principais indústrias atacadas em África       

Em África, o sector mais atacado em Novembro de 2023 foi o das Telecomunicações, seguido do das Utilities em segundo lugar, e do ISP/MSP, que ocupa o último lugar do pódio.  

  1. Telecomunicações
  2. Utilities
  3. ISP/MSP

  

Principais vulnerabilidades exploradas 

 No mês passado, a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, afectando 45% das organizações em todo o mundo, seguida pela “Web Servers Malicious URL Directory Traversal”, com 42% das organizações em todo o mundo. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ficou em terceiro lugar, com um impacto global de 41%. 

  1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) — Foi relatada uma vulnerabilidade de injecção de comando sobre HTTP. Um atacante remoto pode explorar este problema enviando uma solicitação especialmente elaborada para a vítima. Uma exploração bem-sucedida permitiria a um atacante executar código arbitrário na máquina-alvo.
  2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de directório em diferentes servidores Web. A vulnerabilidade deve-se a um erro de validação de entrada num servidor Web que não limpa correctamente o URI para os padrões de passagem de directórios. Uma exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acedam a ficheiros arbitrários no servidor vulnerável.
  3. ↓ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injecção de comandos no Zyxel ZyWALL. A exploração bem-sucedida dessa vulnerabilidade permitiria que os invasores remotos executassem comandos arbitrários do sistema operacional no sistema afectado.

 

Top Mobile Malwares 

 No mês passado, o Anubis manteve-se em primeiro lugar como o malware móvel dominante, seguido do AhMyth e do SpinOk. 

  1. Anubis – O Anubis é um malware de Trojan bancário concebido para telemóveis Android. Desde que foi inicialmente detetado, ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, capacidades de gravação de áudio e várias funcionalidades de ransomware. Foi detetado em centenas de diferentes aplicações disponíveis na Loja Google. 
  2. AhMyth – O AhMyth é um Trojan de Acesso Remoto (RAT) descoberto em 2017. É distribuído através de aplicações Android que podem ser encontradas em lojas de aplicações e vários websites. Quando um utilizador instala uma destas aplicações infetadas, o malware pode recolher informação sensível do dispositivo e realizar ações como o keylogging, tirar screenshots, enviar mensagens SMS e ativar a câmara.
  3. SpinOk – O SpinOk é um módulo de software para Android que funciona como spyware. Recolhe informações sobre ficheiros armazenados em dispositivos e pode transferi-las para agentes de ameaças maliciosos. O módulo malicioso foi encontrado presente em mais de 100 aplicações Android e descarregado mais de 421.000.000 vezes até maio de 2023.

O Índice Global de Impacto de Ameaças da Check Point e o seu Mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point. O ThreatCloud fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e telemóveis. A inteligência é enriquecida com motores baseados em IA e dados de pesquisa exclusivos da Check Point Research, o braço de inteligência e pesquisa da Check Point Software Technologies.   

 A lista completa das dez principais famílias de malware em Outubro pode ser consultada no blogue da Check Point.

Facebook Comments


Descubra mais sobre Jornal Visão Moçambique

Assine para receber nossas notícias mais recentes por e-mail.

By Agostinho Muchave

Jornal moçambicano que inova na maneira de informar.

Related Post

0
Adoraria saber sua opinião, comente.x

Descubra mais sobre Jornal Visão Moçambique

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading