Entre todas as categorias de ciberameaças detetadas pela telemetria da ESET, empresa europeia líder em soluções de cibersegurança, os ataques de phishing em emails foram das principais ameaças para os utilizadores em Portugal na primeira metade do ano[i]. Erros ortográficos, gramática estranha, linguagem urgente ou ameaçadora, falta de contexto – tudo isto são sinais comuns de ataques de phishing em emails.
​
No entanto, algumas ameaças de phishing são mais difíceis de detetar. Algumas envolvem um investimento significativo de tempo e um planeamento meticuloso por parte dos agentes maliciosos, que até examinam as comunicações anteriores das suas vítimas, o que acaba por tornar o ataque altamente convincente e bem-sucedido.

Basta um deslize e uns segundos para ser vítima de um ataque de phishing – e nem mesmo os profissionais de TI estão isentos deste risco! Uma mensagem de email aparentemente inócua pode conter um link no qual deve clicar antes que, jura o seu autor, “seja tarde demais”. Considerando a popularidade dos ataques de phishing em emails em Portugal, é importante para os utilizadores conhecerem as suas opções após se aperceberem que clicaram no sítio errado. A ESET deixa 10 passos essenciais:

1. Não forneça mais informações
Digamos que recebeu um email de uma loja online que levanta suspeitas, mas clicou no link do corpo do email sem pensar muito ou apenas por curiosidade. O link envia-o para um website que parece legítimo, mas as dúvidas persistem na sua mente. A abordagem mais simples é não partilhar qualquer informação adicional. Não introduza o seu login nem forneça os detalhes da sua conta bancária. Se os cibercriminosos só queriam os seus dados e não comprometeram o seu dispositivo com malware, é provável que tenha acabado de escapar a um ataque pior.

2. Desligue o seu dispositivo da Internet
Alguns ataques de phishing podem levá-lo a dar aos agentes maliciosos acesso ao seu computador, smartphone ou outro dispositivo. Estes podem instalar malware, recolher informações sobre si e o seu dispositivo ou obter controlo remoto do dispositivo comprometido. Para reduzir os danos, é imperativo agir rapidamente. Comece por desligar o dispositivo comprometido da Internet. Se utilizar um PC com uma ligação por cabo, basta desligar o cabo de Internet do seu computador. Se estiver ligado através de Wi-Fi, desligue-o nas definições do dispositivo ou ligue o modo de avião no seu smartphone.

3. Faça backup dos seus dados
Desligar-se da Internet impedirá que mais dados sejam enviados para o servidor malicioso, mas os seus dados continuam a estar em perigo. Deve fazer um backup dos seus ficheiros, principalmente dos documentos sensíveis ou dos ficheiros com elevado valor pessoal, como fotografias e vídeos. No entanto, fazer backup dos seus dados depois de terem sido comprometidos pode ser arriscado, uma vez que podem já ter sido comprometidos por malware. É provável que faça backup do malware juntamente com as fotografias da sua última festa de aniversário. Em vez disso, deve fazer backup dos seus ficheiros regularmente e de forma preventiva. Se o malware atingir o seu dispositivo, pode recuperar os seus dados a partir de um disco rígido externo, uma pen USB ou serviço de armazenamento na cloud.

4. Efetue uma verificação de malware e outras ameaças
Execute uma verificação completa do seu dispositivo utilizando software anti-malware de um especialista em cibersegurança, enquanto o dispositivo ainda está desligado da Internet. Se o processo de verificação não encontrar qualquer risco potencial, mas ainda tiver dúvidas, contacte o seu fornecedor de cibersegurança. E se ainda não estiver a utilizar qualquer software anti-malware multicamada com funcionalidades anti-phishing, arranje um!

5. Considere uma reposição de fábrica
A reposição de fábrica significa repor o smartphone no seu estado original, removendo todas as apps e ficheiros instalados. No entanto, alguns tipos de malware podem persistir no seu dispositivo mesmo após uma reposição total, mas é provável que a limpeza do seu dispositivo móvel ou computador remova com êxito qualquer ameaça. Lembre-se de que uma reposição de fábrica é irreversível e irá limpar todos os dados armazenados localmente. Nunca é demais sublinhar a importância de efetuar backups regulares!

6. Reponha as suas passwords
Os emails de phishing podem induzi-lo a divulgar os seus dados sensíveis, tais como números de identificação, detalhes bancários e de cartões de crédito ou credenciais de acesso. Mesmo que não forneça os seus dados, é possível que, se tiver malware instalado no seu dispositivo, este possa localizá-los. Se pensa que este é o caso, principalmente se os emails de phishing lhe pedirem para fornecer um login específico, deve alterar imediatamente as suas credenciais de login, especialmente se reciclar a mesma password em várias contas. Estas situações realçam a importância de utilizar nomes de utilizador passwords únicos para diferentes serviços online.

7. Contacte bancos, autoridades e fornecedores de serviços
Se introduziu dados bancários/cartões de crédito ou dados de acesso a um website com acesso aos seus cartões, informe imediatamente o seu banco. O seu cartão pode ser bloqueado ou congelado para evitar futuras fraudes, e pode evitar ou minimizar qualquer perda financeira. Não se esqueça de verificar se o seu banco (ou outro serviço de pagamento comprometido) tem uma política de reembolso para as vítimas de burlas. Para evitar que outras pessoas caiam no mesmo esquema, é importante também contactar as autoridades locais.

8. Detete as diferenças
Os criminosos que conseguem entrar com sucesso num dos seus dispositivos ou contas podem tentar estabelecer a sua presença durante o máximo de tempo possível. Podem alterar os seus logins, endereços de email, números de telefone ou qualquer coisa que os ajude a solidificar a sua posição na sua conta. Reveja a sua atividade nas contas das redes sociais, as informações bancárias e o seu histórico de encomendas de compras online. Se, por exemplo, detetar algum pagamento que pareça estranho, desconhecido ou não autorizado, comunique-o, altere as suas credenciais e peça um reembolso.

9. Procure dispositivos não reconhecidos
Se os agentes maliciosos roubaram os detalhes da sua conta, é provável que tenham tentado iniciar sessão a partir do seu próprio dispositivo. A maioria das plataformas de redes sociais mantém um registo das suas sessões de login atuais nas definições de privacidade. Verifique-o e force o fim de sessão em qualquer dispositivo desconhecido.

10. Notifique os seus amigos, contactos, fornecedores de serviços e empregador
Por vezes, os cibercriminosos utilizam a sua lista de contactos numa conta comprometida para espalhar ligações de phishing ou spam. Tenha em atenção este facto e tome medidas para evitar que outros sejam vítimas do mesmo esquema. Se um ciberataque estiver relacionado com as suas contas de trabalho ou com dispositivos emitidos pela sua entidade patronal, siga as regras da sua empresa para lidar com ciberincidentes e comunique imediatamente o caso à sua chefia e ao departamento de TI. Os principais serviços de email, como o Outlook ou o Gmail, também oferecem ferramentas para denunciar emails de phishing diretamente da sua caixa de entrada.

Imagem: https://fotos.aempress.com/WhiteHat/ESET/Ataques-de-phishing-em-Portugal


[i] A ameaça com maior expressão em Portugal entre dezembro de 2022 e maio de 2023 (H1 2023) foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções no período. Esta ameaça refere-se a documentos HTML maliciosos enviados por email, que, quando abertos num navegador web, remetem o utilizador para um site de phishing (Fonte: telemetria da ESET para Portugal em H1 2023).

O regresso ao trabalho depois do período de férias é um momento propício para passar em revista as principais tendências que caracterizam as ciberameaças da atualidade. Afinal, ficar um passo à frente das tendências do cibercrime é uma parte integral do combate contra agentes maliciosos: por um lado, da parte dos consumidores e empresas, que necessitam de continuar a aumentar as suas defesas; por outro, da parte de especialistas como a ESET, que fornecem soluções avançadas de cibersegurança.

Relatórios europeus recentes, quer da Europol, quer da agência britânica de serviços de segurança National Crime Agency (NCA), fornecem uma fotografia valiosa da atual paisagem de ameaças para funcionários de TI e consumidores na Europa. Desde Estados “arranjados” com grupos de cibercrime organizado, até uma epidemia de fraudes, passando pela normalização do cibercrime, são vários os motivos para querer ficar atento – e protegido.

As 5 tendências do cibercrime a ter em conta

1. Estados associados a cibercriminosos
​
Atividades patrocinadas pelo Estado e o cibercrime foram, durante anos, áreas bastante distintas. A primeira girava em torno da ciberespionagem e/ou de ataques destrutivos destinados a promover objetivos geopolíticos e militares. A segunda centrava-se, de forma mais simplista, em ganhar dinheiro.

Segundo a NCA, estamos a assistir cada vez mais a uma convergência entre as duas. Esta convergência não se manifesta apenas no facto de alguns agentes utilizarem técnicas de cibercrime para roubar dinheiro ao Estado. Ou no facto de alguns governos ignorarem atividades do ransomware e de outros grupos.

“No último ano, começámos a ver Estados hostis começarem a utilizar grupos de crime organizado – nem sempre da mesma nacionalidade – como proxies,” alerta Graeme Biggar, chefe da NCA. “É uma evolução que nós e os nossos colegas do MI5 e do policiamento de combate ao terrorismo estamos a acompanhar de perto.”

Não é a primeira vez que os peritos, incluindo a ESET, se apercebem de uma ligação crescente entre o crime organizado e os Estados-nação. De facto, há apenas três meses, os investigadores da ESET escreveram sobre o interessante caso do grupo denominado Asylum Ambuscade, que se situa entre o crime e a espionagem.

2. O roubo de dados está a alimentar uma epidemia de fraude

No Reino Unido, a fraude representa atualmente 40% de toda a criminalidade, sendo três quartos dos adultos visados em 2022, quer por telefone, quer pessoalmente ou online, de acordo com a NCA. Isto deve-se, em parte, a um fluxo contínuo de dados comprometidos que chegam aos mercados da dark web. A Europol vai mais longe, afirmando que os dados são a “mercadoria central” da economia do cibercrime, alimentando a extorsão (por exemplo, ransomware), a engenharia social (por exemplo, phishing) e muito mais.

Os próprios dados vendidos nesses mercados não são cada vez mais apenas informações estáticas, como detalhes de cartões, mas compilados a partir de múltiplos pontos de dados recuperados do dispositivo de uma vítima, afirma a Europol. A cadeia de abastecimento da cibercriminalidade, desde o roubo de dados até à fraude, pode envolver muitos intervenientes.

Esta economia baseada em serviços é surpreendentemente eficaz. No entanto, a NCA afirma que estes serviços profissionais também podem ajudar as autoridades policiais, “fornecendo um rico conjunto de alvos que, quando interrompidos, têm um impacto desproporcionado no ecossistema criminoso”.

3. As mesmas vítimas são frequentemente objeto de vários ataques

A forma como o submundo do cibercrime funciona atualmente significa que mesmo as organizações que acabaram de ser atacadas podem não conseguir respirar de alívio por o pior já ter passado. Hoje, os cibercriminosos vendem a vários agentes de ameaças o acesso às mesmas organizações. Isto significa que o mesmo conjunto de credenciais empresariais comprometidas pode estar a circular entre vários agentes de ameaças, diz a Europol.

4. O phishing continua a ser surpreendentemente eficaz

O phishing tem sido um dos principais vetores de ameaça desde há muitos anos e continua a ser uma via privilegiada para obter logins e informações pessoais, bem como para implementar malware de forma dissimulada. Continua a ser popular e eficaz porque os seres humanos continuam a ser o elo mais fraco da cadeia de segurança, defende a Europol.
A utilização generalizada de kits de phishing ajuda a automatizar e a baixar a fasquia para os cibercriminosos menos capazes tecnicamente, com a ESET descobriu recentemente no caso “Telekopye”. A Europol também alerta para o facto de já estarem a ser utilizadas ferramentas de IA generativa para criar vídeos deepfake e escrever mensagens de phishing mais realistas.

5. O comportamento criminoso é cada vez mais normalizado entre os jovens

Os sites da dark web foram desde sempre um local de comércio não só de dados roubados e ferramentas de ataque, mas também de conhecimento. De acordo com a Europol, esta situação persiste atualmente, com os utilizadores a procurarem e a receberem recomendações sobre como evitar a deteção e como tornar os seus ataques mais eficazes. Tutoriais, FAQs e manuais de instruções oferecem ajuda em campanhas de fraude, lavagem de dinheiro, exploração sexual de crianças, phishing, malware e muito mais.

Talvez mais preocupante seja o facto de os sites e fóruns clandestinos – alguns dos quais funcionam na Internet “de superfície” – serem também utilizados para recrutar jovens, segundo a Europol. Os jovens estão especialmente expostos: um relatório de 2022 citado pela Europol afirma que 69% dos jovens europeus já cometeram pelo menos uma forma de cibercriminalidade ou de dano ou risco online, incluindo branqueamento de capitais e pirataria digital.

Para mais informação sobre tendência da paisagem atual de ciberameaças também pode consultar o mais recente Relatório de Ameaças da ESET, que resume as principais estatísticas dos sistemas de deteção da especialista europeia.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Tendencias-da-paisagem-de-ciberameacas/

Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram um kit de ferramentas que ajuda agentes maliciosos com menor experiência técnica a cometer cibercrimes. Designado “Telekopye”, o kit está implementado como um bot de Telegram e possui capacidades que incluem criar websites de phishing, enviar SMS e emails de phishing, e criar falsas capturas de ecrã.
​
Segundo a telemetria da ESET, a ferramenta Telekopye está ativa desde 2015 e encontra-se em desenvolvimento ativo. Várias pistas apontam para a Rússia como o país de origem dos autores e utilizadores desta ferramenta.

“Descobrimos o código-fonte de um kit de ferramentas que ajuda tanto os agentes maliciosos que eles não precisam de ser particularmente versados em TI, mas apenas de ser persuasivos para com as vítimas. Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez,” explica o investigador da ESET, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais.”

O Telekopye foi transferido várias vezes para o VirusTotal, principalmente da Rússia, Ucrânia e Uzbequistão. Estes são os países a partir dos quais os atacantes normalmente operam, com base na língua utilizada nos comentários do código e na localização da maioria dos mercados visados. Apesar de os principais alvos dos cibercriminosos serem mercados online populares na Rússia, como o OLX e o YULA, a ESET também observou alvos que não são nativos da Rússia, como o BlaBlaCar ou o eBay, e até outros que não têm nada em comum com a Rússia, como o JOFOGAS e o Sbazar.

A ESET conseguiu recolher várias versões do Telekopye, o que sugere um desenvolvimento ativo. O kit de ferramentas tem várias funcionalidades diferentes que os agentes maliciosos podem utilizar em toda a sua extensão. Estas incluem o envio de emails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR e a criação de falsas capturas de ecrã. Além disso, algumas versões do Telekopye podem armazenar dados da vítima (normalmente detalhes de cartões ou endereços de email) no disco onde o bot é executado.

Os cibercriminosos não transferem o dinheiro roubado das vítimas para as suas próprias contas. Em vez disso, todos os agentes maliciosos usam uma conta Telekopye partilhada, controlada pelo administrador do Telekopye. O Telekopye mantém um registo do sucesso de cada atacante, registando as contribuições associadas a essa conta partilhada – quer num simples ficheiro de texto, quer numa base de dados SQL. Consequentemente, os cibercriminosos são pagos pelo administrador do Telekopye deduzindo as taxas de administração. Os grupos de cibercriminosos que utilizam o Telekopye estão organizados numa hierarquia de cinco classes, do menor para o maior privilégio. Os atacantes das classes superiores pagam taxas de comissão mais baixas.

“A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada. Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino,” aconselha Jizba.

Para informação técnica sobre esta investigação, consulte o artigo dedicado no WeLiveSecurity.

Imagem: https://fotos.aempress.com/WhiteHat/ESET/Telekopye/

A ESET Research, braço de investigação da empresa europeia de cibersegurança ESET, descobriu um novo grupo de ciberespionagem, o MoustachedBouncer. O seu nome deve-se à sua presença na Bielorrússia e está alinhado com os interesses do governo local. Ativo desde pelo menos 2014, o grupo visa exclusivamente as embaixadas estrangeiras, incluindo as europeias, na Bielorrússia. Desde 2020, o MoustachedBouncer tem sido capaz de efetuar ataques adversary-in-the-middle (AitM) ao nível do ISP, na Bielorrússia, para comprometer os seus alvos. O grupo usa dois conjuntos de ferramentas que a ESET chamou de NightClub e Disco. A investigação foi apresentada durante a conferência Black Hat USA 2023 a 10 de agosto, pelo investigador da ESET Matthieu Faou.

De acordo com a telemetria da ESET, o grupo tem como alvo as embaixadas estrangeiras na Bielorrússia, e a ESET identificou quatro países cujos funcionários das embaixadas foram visados: dois da Europa, um do Sul da Ásia e um de África. A ESET estima que o MoustachedBouncer está muito provavelmente alinhado com os interesses da Bielorrússia e é especializado em espionagem, especificamente contra embaixadas estrangeiras na Bielorrússia. O MoustachedBouncer utiliza técnicas avançadas para comunicações de Comando e Controlo (C&C), incluindo a interceção de redes ao nível do ISP para o implante Disco, emails para o implante NightClub e DNS num dos plugins NightClub.

Embora a ESET Research monitorize o MoustachedBouncer como um grupo separado, encontrou elementos que fazem com que estime com baixa confiança que ele está a colaborar com outro grupo de ciberespionagem ativo, o Winter Vivern, que teve como alvo funcionários do governo de vários países europeus, incluindo a Polónia e a Ucrânia, em 2023. “Para comprometer os seus alvos, os operadores do MoustachedBouncer adulteram o acesso à Internet das suas vítimas, provavelmente ao nível do ISP, fazendo o Windows acreditar que está por detrás de um portal cativo. Para os intervalos de IP visados pelo MoustachedBouncer, o tráfego de rede é redirecionado para uma página aparentemente legítima, mas falsa, do Windows Update,” afirmou Matthieu Faou, investigador da ESET que descobriu o novo grupo de ciberespionagem. “Esta técnica de adversary-in-the-middle ocorre apenas contra algumas organizações selecionadas, talvez apenas embaixadas, e não em todo o país. O cenário do AitM lembra-nos os grupos cibercriminosos Turla e StrongPity, que instalaram software trojanizado em tempo real ao nível do ISP.”

“Embora não se possa descartar totalmente o comprometimento dos routers para realizar ataques AitM nas redes das embaixadas, a presença de capacidades de interceção legal na Bielorrússia sugere que a manipulação do tráfego está a acontecer ao nível do ISP e não nos routers dos alvos,” explica o investigador da ESET.

Desde 2014, as famílias de malware utilizadas pelo MoustachedBouncer evoluíram, e uma grande mudança ocorreu em 2020, quando o grupo começou a utilizar ataques adversary-in-the-middle. O MoustachedBouncer opera as duas famílias de implantes em paralelo, mas numa determinada máquina, apenas uma é implantada de cada vez. A ESET acredita que o Disco é usado em conjunto com ataques AitM, enquanto o NightClub é usado para vítimas em que a interceção de tráfego ao nível do ISP não é possível devido a uma mitigação, como a utilização de uma VPN encriptada em que o tráfego da Internet é encaminhado para fora da Bielorrússia.

“A principal conclusão é que as organizações em países estrangeiros onde a Internet não é de confiança devem utilizar um túnel VPN encriptado para um local de confiança para todo o seu tráfego de Internet, de modo a contornar quaisquer dispositivos de inspeção de rede. Devem também utilizar software de cibersegurança atualizado e de alta qualidade,” aconselha Faou.

O implante NightClub utiliza serviços de email gratuitos, nomeadamente o serviço de webmail checo Seznam.cz e o fornecedor de webmail russo Mail.ru, para roubar dados. A ESET acredita que os atacantes criaram as suas próprias contas de email, em vez de comprometerem contas legítimas. O MoustachedBouncer concentra-se no roubo de ficheiros e na monitorização de discos, incluindo os externos. As capacidades do NightClub também incluem a gravação de áudio, a captura de screenshots e o registo de teclas premidas. Para mais detalhes técnicos sobre o MoustachedBouncer, leia o artigo completo aqui.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/MoustachedBouncer/

A ESET, empresa europeia líder em soluções de cibersegurança, divulgou dados exclusivos para Portugal que revelam a prevalência das ameaças detetadas em emails na primeira metade do ano. A telemetria da ESET, cujos resultados foram recentemente compilados num Relatório de Ameaças correspondentemente ao período de dezembro de 2022 a maio de 2023 (ou H1 2023), fornece sinais valiosos da atual paisagem de ciberameaças para os utilizadores em Portugal.

Entre todas as ciberameaças nas várias categorias registadas pela ESET em H1 2023, a ameaça com maior expressão no território português foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções. Esta ameaça, que na sua categoria específica representa mais de um terço das deteções (35,1%), refere-se a documentos HTML maliciosos enviados por email que, quando abertos num navegador web, remetem o utilizador para um site de phishing. Tipicamente, esse site fraudulento terá a aparência legítima de um fornecedor de serviços bancários, pagamento ou rede social.

Como acontece habitualmente com ciberameaças de elevada expressão, a HTML/Phishing.Agent Trojan registou um grande número de deteções a nível global. Esta ameaça de email teve especial incidência no Japão, Estados Unidos e Reino Unido.

Além das ameaças de email relacionadas com tentativas de phishing, outra ameaça de email em destaque em Portugal durante a primeira metade do ano foi a DOC/Fraud Trojan (7,5% das deteções na sua categoria), que, à imagem do que a ESET registou globalmente, reflete um crescimento das tentativas de sextortion. Esta ameaça cobre sobretudo documentos Microsoft Word com vários tipos de conteúdos fraudulentos, distribuídos como anexos de email.
​
Os principais tipos de anexo de email maliciosos em Portugal na primeira metade de 2023 foram os scripts (66,07%), que são muitas vezes utilizados por cibercriminosos para automatizar processos em tentativas de phishing. Os executáveis (14,48%) e os documentos de Office (10,8%) também foram anexos maliciosos populares entre cibercriminosos na primeira metade do ano.

Para mais informações, consulte o Relatório de Ameaças H1 2023 da ESET.
​
Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Ameacas-de-email-lideram-ciberameacas-em-Portugal/

A ESET divulgou o seu Relatório de Ameaças relativo à primeira metade de 2023 (H1 2023), resumindo as principais estatísticas dos sistemas de deteção da ESET e destacando exemplos das suas análises de cibersegurança, incluindo o regresso dos emails fraudulentos de “sextortion” e o aumento das apps de empréstimos fraudulentas.
​
O Relatório de Ameaças H1 2023 da ESET (que cobre o período de dezembro de 2022 a maio de 2023) revela as novas tendências e adaptabilidade dos agentes maliciosos, com exploração de vulnerabilidades, acessos não-autorizados, acesso a informação sensível, ou fraude a utilizadores vulneráveis. Um dos principais motivos para as mudanças nos padrões de ataque são as políticas de segurança mais estritas introduzidas pela Microsoft, em particular na abertura de ficheiros que autorizam macros.

Numa tentativa de contornar as medidas de segurança da Microsoft, cibercriminosos substituíram os macros do Office por ficheiros OneNote maliciosos, tirando partido da capacidade de incorporar scripts e ficheiros diretamente no OneNote. Em resposta, a Microsoft ajustou a configuração predefinida, levando os cibercriminosos a continuar a explorar vetores de ataque alternativos, com a intensificação dos ataques de força bruta contra os servidores Microsoft SQL a representar potencialmente uma das abordagens de substituição testadas.

No âmbito do ransomware, a telemetria da ESET apresentada no Relatório de Ameaças H1 2023 sugere que agentes maliciosos estão cada vez mais a reutilizar código-fonte anteriormente divulgado para desenhar novas variantes de ransomware. E embora as ameaças de criptomoeda estejam a decrescer de forma constante, as atividades cibercriminosas relacionadas com criptomoeda continuam a persistir, nomeadamente técnicas de “cryptomining” e “cryptostealing”, que estão a ser incorporadas em mais variantes de malware.

Noutras ameaças vocacionadas para o enriquecimento financeiro, a ESET observou no Relatório de Ameaças H1 2023 o regresso do chamados emails fraudulentos de sextortion, que exploram os receios das pessoas em relação às suas atividades online, bem como um crescimento alarmante de aplicações de empréstimos fraudulentas, que se fazem passar por serviços legítimos de empréstimo pessoal e que tiram partido de indivíduos vulneráveis com necessidades financeiras urgentes.

Para mais informações, consulte o Relatório de Ameaças H1 2023 da ESET.

Foto: https://fotos.aempress.com/WhiteHat/ESET/Relatorio-de-Ameacas-H1-2023/

A ESET, empresa europeia líder em soluções de cibersegurança, revela as mais recentes atividades do infame Emotet desde o seu regresso à paisagem das ciberameaças no final de 2021.O Emotet é uma família de malware ativa desde 2014, operada por um grupo cibercriminoso conhecido como Mealybug ou TA542.

Embora tenha começado como um trojan bancário, o Emotet evoluiu mais tarde para uma rede de dispositivos online infetados com malware – ou botnet – tornando-se numa das ciberameaças mais prevalentes em todo o mundo.

Em janeiro de 2021, o Emotet foi alvo de um takedown limitado, em resultado de um esforço internacional e colaborativo de oito países, coordenado pela Eurojust e Europol. No entanto, o Emotet voltou ao ativo em novembro de 2021 com várias campanhas de spam, que terminaram abruptamente em abril de 2023. Nas suas últimas campanhas de 2022-2023, a maioria dos ataques detetados pela ESET visaram em particular o Sul da Europa e o Japão.

“O Emotet propaga-se através de emails de spam. Pode extrair informações e distribuir malware third-party a computadores comprometidos. Os operadores do Emotet não são muito exigentes quanto aos seus alvos, instalando o seu malware em sistemas pertencentes a indivíduos e empresas de todas as dimensões,” comentou a propósito o investigador da ESET Jakub Kaloč.

Ao longo do final de 2021 e até meados de 2022, o Emotet propagou-se principalmente através de documentos maliciosos do Microsoft Word e Microsoft Excel com macros VBA incorporados. Em julho de 2022, a Microsoft mudou as regras do jogo para todas as famílias de malware como o Emotet ao desativar os macros VBA em documentos obtidos na Internet.

“A desativação do principal vetor de ataque do Emotet fez com que os seus operadores procurassem novas formas de comprometer os seus alvos. O grupo Mealybug começou a fazer experiências com ficheiros LNK e XLL maliciosos. Em 2023, os operadores do Emotet executaram três campanhas distintas de spam malicioso (ou ‘malspam’), onde cada uma testava uma via de invasão e técnica de engenharia social ligeiramente diferentes,” continuou Kaloč. “No entanto, o tamanho cada vez menor dos ataques e as constantes mudanças na abordagem podem sugerir uma insatisfação com os resultados.”

Após o seu ressurgimento, o Emotet recebeu várias atualizações. As características mais assinaláveis foram o facto de o botnet ter mudado o seu esquema de encriptação e ter implementado várias novas técnicas de camuflagem para proteger os seus módulos. Os operadores do Emotet investiram esforços significativos para evitar a monitorização e o rastreio do seu botnet desde o seu regresso. Além disso, implementaram vários módulos novos e melhoraram os existentes para se manterem rentáveis.

O Emotet propaga-se através de emails de spam, e as pessoas confiam muitas vezes nesses emails porque utilizam com sucesso uma técnica de sequestro de threads de email. Antes do seu takedown, o Emotet usava módulos designados de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar emails e informações de contacto do Outlook. No entanto, como nem todas as pessoas usam o Outlook, o Emotet pós-takedown também se concentrou numa aplicação de email alternativa gratuita (Thunderbird). Além disso, começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartões de crédito armazenados no browser da Google.
 
De acordo com a investigação e telemetria da ESET, os botnets Emotet estão em silêncio desde o início de abril de 2023, muito provavelmente devido à descoberta de um novo vetor de ataque eficaz.

Para mais informação técnica, consulte a investigação no WeLiveSecurity.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/O-regresso-do-Emotet

​A marca reuniu os seus melhores parceiros em dois eventos exclusivos e apresentou várias novidades sobre a nova oferta B2B com especial foco no Vulnerability & Patch Management.

A ESET, empresa europeia líder em soluções de cibersegurança, juntou os seus melhores parceiros no evento ESET Partner Meeting 2023, evento anual que decorreu nos dias 20 e 22 de junho, nas localidades de Lisboa e Gaia respetivamente.

Nestes eventos participaram parceiros ESET de todo o país, tendo sido apresentadas várias novidades relacionadas com a oferta empresarial e funcionalidades tecnológicas que estarão disponíveis já no segundo semestre de 2023. Esta iniciativa permitiu ainda apresentar o posicionamento do fabricante no mercado global de cibersegurança B2B, bem como indicadores relacionados com o negócio, investimento em I&D, e oportunidades decorrentes das necessidades do mercado. Foram ainda premiados os parceiros com melhor desempenho no ano de 2022 em diversas categorias B2B.

De acordo com Ricardo Neves, Marketing Manager da ESET Portugal, “a segmentação do ESET Partner Meeting 2023 em duas localidades diferentes é sinal do nosso crescimento e do aumento significativo do número de parceiros que nos acompanham. Queremos cada vez mais criar momentos diferenciadores, dedicados e com mais proximidade. Além de estreitarmos relacionamentos, foi um momento importante para apresentarmos várias novidades e soluções que permitem que os parceiros estejam na vanguarda da oferta de soluções de cibersegurança.”

Na oferta empresarial, as grandes novidades estão na atualização da subscrição ESET PROTECT Complete que é agora atualizada com a nova e importante funcionalidade tecnológica Vulnerability & Patch Management (V&PM)[i], tornando esta solução de segurança mais completa para as empresas. Foi ainda apresentada uma nova oferta empresarial – ESET PROTECT Elite – que irá dar resposta às empresas que têm maiores requisitos de cibersegurança. Esta disponibiliza às organizações mais exigentes o maior nível de cibersegurança, recorrendo a várias camadas de proteção e tecnologias.

De acordo com Nuno Mendes, Diretor Geral da ESET Portugal, “esta nova oferta inclui a nossa proteção moderna de endpoints, gestão de vulnerabilidades e aplicação de patches, multi-fator de autenticação, encriptação de discos, segurança de aplicações cloud (ex.: M365), deteção de ameaças zero-day e integra tecnologia XDR para reforço da prevenção, deteção e resposta para obter uma cibersegurança unificada e melhor visibilidade das ameaças."

O ESET Partner Meeting 2023 em Lisboa permitiu ainda aos parceiros um passeio de catamarã pelo Rio Tejo, tendo passado por vários locais da capital como o Terreiro do Paço, Belém e Oeiras. O ESET Partner Meeting 2023 em Gaia deu oportunidade de uma visita guiada ao The Wine Experience, um dos maiores museus interativos de vinho e a várias provas numa das mais antigas caves de vinho – Taylor's Port.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-Partner-Meeting-2023/


[i] Para os utilizadores finais da ESET, a funcionalidade estará tecnicamente disponível no final de julho de 2023.

Clique aqui para editar.

Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, identificaram uma versão atualizada do spyware GravityRAT para Android que está a ser distribuída como as aplicações de mensagens BingeChat e Chatico. O GravityRAT é uma ferramenta de acesso remoto conhecida desde pelo menos 2015 e anteriormente utilizada em ataques direcionados na Índia. Estão disponíveis versões para Windows, Android e macOS. O responsável por detrás do GravityRAT permanece desconhecido; a ESET segue o grupo internamente como SpaceCobra.

Muito provavelmente ativa desde agosto de 2022, a campanha BingeChat ainda está em curso; no entanto, a campanha que utiliza o Chatico já não está ativa. O BingeChat é distribuído através de um website que publicita serviços de mensagens gratuitos. Notável na campanha recém-descoberta, o GravityRAT pode roubar backups do WhatsApp e receber comandos para eliminar ficheiros. As aplicações maliciosas também fornecem funcionalidades de conversação legítimas baseadas na app de código aberto OMEMO Instant Messenger.

O grupo SpaceCobra ressuscitou o GravityRAT para incluir estas funcionalidades expandidas e, tal como anteriormente, a campanha utiliza aplicações de mensagens como cobertura para distribuir a backdoor do GravityRAT. De acordo com a telemetria da ESET, um utilizador na Índia foi alvo da versão atualizada do Chatico, semelhante às campanhas do SpaceCobra documentadas anteriormente, mas tanto o website como o servidor de comando e controlo associados ao Chatico estão offline neste momento.

Por outro lado, a campanha que utiliza o BingeChat ainda está ativa, distribuindo o malware através de um website que requer registo, provavelmente aberto apenas quando os atacantes esperam que vítimas específicas o visitem, possivelmente com um determinado endereço IP, geolocalização, URL personalizado ou dentro de um período de tempo específico. Em qualquer caso, a ESET acredita que a campanha é altamente direcionada.

Para mais detalhes técnicos sobre a campanha, leia este artigo no WeLiveSecurity (em inglês).

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/GravityRAT/

A ESET, empresa europeia líder em soluções de cibersegurança, revelou detalhes sobre um cryptor – uma camada de defesa usada por cibercriminosos para camuflar o código de malware e evitar deteções – com circulação à escala global usado por dezenas de famílias de malware. Designado AceCryptor, esta camuflagem de malware é usada desde 2016 e contribui para espalhar malware em campanhas por todo o mundo.
​
Só em 2021 e 2022, a telemetria avançada da ESET detetou mais de 240 mil ocorrências de malware com AceCryptor, o que equivale a mais de 10 mil deteções por mês. É provável que este cryptor seja vendido na dark web ou em fóruns clandestinos. Atualmente, muitas famílias de malware, incluindo malware usado para roubo de credenciais de cartões de crédito e dados sensíveis, contam com o AceCryptor como a sua principal proteção contra deteções.
 
“Para os autores de malware, proteger os seus instrumentos de ataque contra a deteção é um desafio. Os cryptors são a primeira camada de defesa do malware que é distribuído. Embora os autores de ameaças possam criar e manter os seus próprios cryptors personalizados, para os autores de ameaças de malware projetado para o cibercrime automatizado – ou crimeware – muitas vezes pode ser demorado ou tecnicamente difícil manter um cryptor num estado totalmente indetetável. A procura por essa camuflagem deu origem a várias opções de cryptor-como-serviço que incluem malware,” explicou a propósito o investigador da ESET Jakub Kaloč.

Malware protegido com AceCryptor

Entre as famílias de malware detetadas que usaram o AceCryptor, uma das mais prevalentes foi o RedLine Stealer – um malware disponível para compra em fóruns clandestinos e usado para roubar credenciais de cartão de crédito e outros dados confidenciais, fazer upload e download de ficheiros, e até mesmo roubar criptomoedas. O RedLine Stealer foi detetado pela primeira vez no início de 2022, e os seus distribuidores têm usado o AceCryptor desde então.

Como o AceCryptor é usado por vários agentes maliciosos, o malware nele incluído é distribuído de várias maneiras. De acordo com a telemetria da ESET, os dispositivos foram expostos ao malware com AceCryptor principalmente através de instaladores fraudulentos de software pirata ou emails de spam com anexos maliciosos.

Como muitos agentes maliciosos usam o AceCryptor, qualquer pessoa pode ser afetada. Devido à diversidade do malware incluído, é difícil estimar a gravidade das consequências para uma vítima comprometida. O AceCryptor pode ter sido implementado por outro malware, já em execução no sistema da vítima, ou, se a vítima foi diretamente afetada, por exemplo, pela abertura de um anexo de email malicioso.

Monitorização para proteção

A atribuição do AceCryptor a um determinado agente malicioso não é por enquanto possível. Contudo, a ESET prevê que o AceCryptor continue a ser amplamente utilizado. Uma monitorização atenta ajudará a prevenir e descobrir novas campanhas de famílias de malware com este cryptor. Durante 2021 e 2022, a ESET protegeu mais de 80 mil clientes afetados por malware cujo código estava ofuscado com AceCryptor.

Para mais informações, consulte a investigação da ESET.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/AceCryptor/