A ESET, empresa europeia líder em soluções de cibersegurança, lançou o seu relatório de atividade APT para o quarto trimestre de 2022 e primeiro trimestre de 2023, resumindo as atividades de certos grupos APT (“advanced persistent threat”) que foram observados, investigados e analisados por investigadores da ESET desde outubro de 2022 até ao final de março de 2023. Parte do relatório também menciona alguns eventos previamente cobertos pelo relatório de atividade APT do terceiro quadrimestre de 2022. Isto deve-se à decisão da ESET de lançar este relatório semianualmente, com a edição atual a cobrir o quarto trimestre de 2022 e primeiro de 2023, e a próxima a cobrir o segundo e terceiro trimestre de 2023.

Durante o período monitorizado, vários grupos cibercriminosos associados à China focaram os seus ataques em organizações europeias, aplicando táticas como a implementação de backdoors – malware que permite ultrapassar o processo de autenticação ou encriptação normal de um sistema. Por exemplo, o grupo Ke3chang implementou uma nova variante da backdoor Ketrican, enquanto o grupo Mustang Panda utilizou duas novas backdoors.

O grupo MirrorFace visou o Japão, recorrendo a novas formas de distribuir malware, enquanto a operação ChattyGoblin comprometeu uma empresa de jogo nas Filipinas através dos seus agentes de suporte.

Os grupos associados à Índia SideWinder e Donot Team continuaram a atacar instituições governamentais no Sul da Ásia, com o primeiro a focar-se no setor da educação na China e o segundo a desenvolver a sua framework yty, que consiste numa cadeia de downloaders cujo objetivo final é descarregar uma backdoor, mas também a implementar o RAT (trojan de acesso remoto) Remcos comercialmente disponível. Ainda no Sul da Ásia, a ESET detetou um alto número de tentativas de phishing na plataforma de webmail Zimbra.

No Médio Oriente, o grupo associado ao Irão MuddyWater parou de usar a ferramenta de acesso remoto SimpleHelp durante este período para distribuir malware pelas suas vítimas, optando por scripts PowerShell. Em Israel, o grupo OilRig implementou uma nova backdoor personalizada a que a ESET chamou Mango e o downloader SC5k, enquanto o grupo POLONIUM usou uma backdoor CreepySnail modificada.

Grupos associados à Coreia do Norte como o ScarCruft, Andariel e Kimsuky continuaram a focar-se na Coreia do Sul e entidades relacionadas usando as suas ferramentas habituais. Para além de visar os funcionários de uma empresa de defesa na Polónia com uma oferta de emprego da Boeing falsa, o grupo Lazarus também mudou o seu foco dos seus alvos tradicionais para uma empresa de gestão de dados na Índia, utilizando engenharia social temática da Accenture. A ESET identificou ainda malware Linux a ser implementado numa das suas campanhas.

Os grupos APT associados à Rússia estiveram especialmente ativos na Ucrânia e países da União Europeia, com o grupo Sandworm a distribuir wipers (malware que apaga dados), incluindo um novo a que a ESET chamou SwiftSlicer, e os grupos Gamaredon, Sednit e Dukes a utilizarem emails de spearphishing (phishing direcionado a alvos específicos).

Finalmente, a ESET detetou que a previamente mencionada plataforma de email Zimbra também foi explorada pelo grupo Winter Vivern, particularmente ativo na Europa, e notou uma redução significativa na atividade do grupo SturgeonPhisher, que normalmente se foca nos funcionários governamentais de países da Ásia Central com emails de spearphishing, levando a ESET a acreditar que o grupo está neste momento a reequipar-se.

As atividades maliciosas descritas neste relatório de atividade APT foram detetadas pelos produtos da ESET; a informação partilhada baseia-se principalmente em telemetria proprietária da ESET e foi verificada pela ESET Research. Leia o relatório completo aqui.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-APT-Activity-Report-Q4-2022-Q1-2023/

A ESET, empresa europeia líder em soluções de cibersegurança, descobriu uma campanha de ciberataques na qual os sistemas de atualização de apps legítimas foram manipulados para também distribuir o malware MgBot. Este malware é o principal instrumento de ciberespionagem do grupo malicioso Evasive Panda, a quem a ESET atribui o ataque.
​
A investigação da ESET revela que esta campanha, que visou utilizadores na China continental, teve início em 2020. A maioria das vítimas faz parte de uma organização não governamental internacional.

“O grupo Evasive Panda utiliza uma backdoor personalizada conhecida como MgBot, que tem registado pouca evolução desde a sua descoberta em 2014. Tanto quanto sabemos, a backdoor não foi utilizada por nenhum outro grupo. Portanto, atribuímos esta atividade ao Evasive Panda com elevada confiança,” comentou a propósito o investigador da ESET Facundo Muñoz, que descobriu esta campanha de ciberataques. “Durante nossa investigação, descobrimos que ao realizar atualizações automáticas, vários componentes legítimos de software de aplicações também descarregaram instaladores da backdoor MgBot a partir de URLs e endereços IP legítimos,” explicou o investigador.

Quando os investigadores da ESET analisaram a probabilidade de vários métodos que poderiam explicar como os agentes maliciosos conseguiram distribuir o malware através de atualizações legítimas, dois cenários destacaram-se: (1) cadeia de fornecimento comprometida; e (2) ataques do tipo “adversary-in-the-middle” (AitM), que que permitem aos hackers intercetar e modificar comunicações entre duas partes, como um utilizador e um website ou serviço, para roubar informação.

“Dada a natureza específica dos ataques, especulamos que os agentes maliciosos tiveram de comprometer os servidores de atualização do QQ[i] para introduzir um mecanismo de identificação dos utilizadores visados, a fim de distribuir o malware, filtrar os utilizadores não visados e distribuir-lhes atualizações legítimas. Isto porque registámos casos em que as atualizações legítimas foram descarregadas através dos mesmos protocolos violados,” afirmou Muñoz. “Por outro lado, as abordagens AitM seriam possíveis se os agentes maliciosos conseguissem comprometer dispositivos vulneráveis, como routers ou gateways, e se os agentes maliciosos pudessem ter obtido acesso à infraestrutura do ISP.”

A arquitetura modular da MgBot permite-lhe alargar a sua funcionalidade através da receção e implementação de módulos no sistema comprometido. As funcionalidades da backdoor incluem a gravação de teclas premidas; roubo de ficheiros, credenciais e conteúdos das aplicações de mensagens das apps QQ e WeChat; e a captura de streams de áudio e de texto copiado para a área de transferência.

O grupo Evasive Panda (também conhecido como BRONZE HIGHLAND e Daggerfly) é um grupo APT de língua chinesa, ativo desde pelo menos 2012. A ESET observou as atividades de ciberespionagem do grupo contra indivíduos na China continental, Hong Kong, Macau e Nigéria.

Para mais informação técnica, consulte a investigação da ESET.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Evasive-Panda


[i] QQ é uma aplicação de mensagens instantâneas amplamente usada na China.

A ESET, empresa europeia líder em soluções de cibersegurança, revelou os resultados de uma nova investigação sobre dispositivos de redes empresariais que foram descartados e revendidos no mercado de usados.
​
Depois de analisar dados de configuração de 16 dispositivos de rede distintos, a ESET descobriu que mais de 56% continham dados empresariais sensíveis. Esta investigação chama a atenção para a importância de seguir protocolos e processos de segurança adequados quando as empresas se desfazem de hardware.

Dos nove dispositivos de rede que possuíam dados de configuração completos disponíveis:

• 22% continham dados de clientes;
• 33% expunham dados que permitiam ligações de terceiros à rede;
• 44% possuíam credenciais para se ligar a outras redes como uma “trusted party”;
• 89% detalhavam informações de ligação para aplicações específicas;
• 89% continham chaves de autenticação “router-to-router”;
• 100% continham uma ou mais credenciais IPsec ou VPN, ou palavras-passe root “hashed”;
• 100% tinham dados suficientes para identificar de forma fiável o antigo proprietário/operador.

As organizações descartam frequentemente tecnologia envelhecida através de outras empresas, que são encarregadas de verificar a destruição ou descarte seguro do equipamento e a eliminação dos dados nele contidos. Quer se trate de um erro cometido por uma empresa de e-waste ou dos próprios processos de eliminação da empresa, foi encontrada uma série de dados nos routers, incluindo:

• Dados de terceiros: Como observado em ciberataques no mundo real, uma violação da rede de uma empresa pode proliferar para os seus clientes, parceiros e outras empresas com as quais a primeira tenha ligações;
• “Trusted parties”: As “trusted parties”, que poderiam ser personificadas como um vetor de ataque secundário, aceitariam certificados e fichas criptográficas encontradas nestes dispositivos, permitindo a um cibercriminoso com credenciais de confiança ser capaz de obter segredos empresariais, sem que as vítimas se apercebessem disso durante um longo período;
• Dados de clientes: Nalguns casos, os routers apontam para lojas de informação internas e/ou externas com informações específicas sobre os clientes dos seus proprietários, por vezes armazenadas internamente, que podem expor os clientes a potenciais problemas de segurança se um agente malicioso for capaz de obter informações específicas sobre eles;
• Aplicações específicas: Mapas completos das principais plataformas de aplicação utilizadas por organizações específicas foram encontrados por todas as configurações destes dispositivos. Devido à granularidade das aplicações e às versões específicas utilizadas em alguns casos, as vulnerabilidades conhecidas poderiam ser exploradas através da topologia da rede que um atacante já teria mapeado;
• Informação de routing extensiva: A ESET encontrou layouts completos do funcionamento interno de várias organizações, que forneceriam extensa informação de topologia de rede para posterior exploração, caso os dispositivos fossem parar às mãos de um cibercriminoso;
• Credenciais empresariais: Os dispositivos possuíam credenciais empresariais potencialmente violáveis ou diretamente reutilizáveis, incluindo logins de administrador, detalhes de VPN e chaves criptográficas, que permitiriam a agentes maliciosos tornarem-se entidades de confiança e, assim, obter acesso através da rede.

A ESET lembra às organizações da importância de verificar se estão a utilizar serviços de uma empresa third-party competente para eliminar os dispositivos, ou se estão a tomar todas as precauções necessárias caso seja a própria organização a tratar desse descarte. Esse procedimento deve estender-se não só a routers e discos rígidos, mas também a qualquer dispositivo que faça parte da rede.

A ESET recomenda ainda que as organizações sigam as diretrizes do fabricante dos seus dispositivos para remover todos os dados de um dispositivo antes de este sair fisicamente das suas instalações, o que é um passo simples que muitos funcionários de TI podem assumir.

Para mais informações, consulte o white paper sobre descarte seguro de dispositivos.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Routers-empresariais

A ESET, empresa europeia líder em soluções de segurança, anunciou hoje o lançamento de soluções de segurança endpoint potenciadas por Intel Threat Detection Technology (Intel TDT). Combinando o seu avançado software de segurança multicamada com Intel vPro de 9.ª geração através dos recentemente lançados processadores Intel Core de 13.ª geração, a ESET e a Intel estão a fornecer uma proteção formidável na luta contra ransomware tanto para PMEs como para grandes instituições.

“A crescente necessidade de deteção e proteção contra ransomware levou-nos a inovar soluções de segurança endpoint com a Intel que evoluem em sincronia com novas variantes de ransomware. Ao introduzir a camada de silício da Intel na tecnologia existente da ESET, conseguimos detetar variantes derivativas de ransomware à medida que surgem, assinalando um novo marco na luta contra ameaças futuras,” disse Elod Kironsky, Vice-Presidente das Endpoint Solutions and Security Technologies na ESET.

Esta integração fornece soluções de hardware e software multicamada que ajudam a trazer segurança altamente eficaz a empresas de todos os tamanhos que corram software de segurança endpoint da ESET em PCs baseados em Intel, incluindo Intel vPro Enterprise e Intel vPro Essentials. Ao tirar partido de Intel TDT, a ESET obtém acesso a modelos de aprendizagem automática treinados sobre telemetria ao nível do CPU para detetar ransomware. As organizações que já usam ou que comprarem hardware Intel compatível têm acesso a proteção avançada contra ransomware quando implementarem soluções de segurança da ESET.

“Empresas de todos os tamanhos estão preocupadas com ransomware, uma ciberameaça que pode resultar em impactos financeiros ou operacionais devastadores. Para ajudar a lidar com isto, estamos entusiasmados em expandir a nossa parceira com a ESET para oferecer a PMEs e grandes instituições soluções de segurança convincentes e flexíveis que protegem tanto contra ameaças conhecidas como zero-day. Esta oferta combinada assinala um grande passo em frente na luta contra ransomware, e temos ficado impressionados com as soluções completas da ESET contra estas ameaças avançadas,” disse Carla Rodríguez, Vice-Presidente e Diretora-Geral do Ecosystem Partner Enabling na Intel.

Durante mais de 30 anos, a ESET tem ajudado empresas, governos, canais e consumidores a manterem-se protegidos contra as ciberameaças mais avançadas do mundo através de um portefólio completo de soluções de segurança inovadoras. A integração de Intel TDT permite aos módulos de proteção, telemetria e heurísticas da ESET trabalhar em conjunto com a tecnologia de deteção de ransomware baseada em hardware da Intel para detetar encriptação maliciosa ao nível do CPU e coletivamente analisar e prever mais ameaças.

Mais informações: https://www.eset.com/us/eset-and-intel-keep-smbs-safe/
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Intel-vPro/

A ESET descobriu um ataque que comprometeu clientes de uma empresa de prevenção da perda de dados na Ásia de Leste. Os agentes maliciosos implementaram pelo menos três famílias de malware e comprometeram os servidores de atualização interna e as ferramentas de terceiros utilizadas pela empresa afetada.
​
A ESET atribui o ataque com elevada confiança ao grupo APT “Tick”. Com base no perfil deste grupo, o objetivo do ataque foi muito provavelmente atividades de ciberespionagem. A carteira de clientes da empresa comprometida inclui entidades governamentais e militares, razão que a torna num alvo particularmente aliciante para grupos de ameaças à cibersegurança.

“Os atacantes comprometeram os servidores de atualização internos da empresa para implementar malware dentro da rede de programação de software, e instaladores fraudulentos de ferramentas legítimas de terceiros utilizadas pela empresa, o que acabou por resultar na execução de malware nos computadores dos seus clientes”, explicou o investigador da ESET Facundo Muñoz. “Durante o ataque, os agentes maliciosos implementaram um downloader até aqui não documentado, ao qual demos o nome de ShadowPy, bem como a backdoor Netboy (também conhecida como Invader) e o downloader Ghostdown,” concluiu.

O ataque inicial aconteceu em março de 2021, facto que a ESET notificou à empresa. Em 2022, a telemetria da ESET registou a execução de código malicioso nas redes de dois dos clientes da empresa comprometida. Uma vez que os instaladores fraudulentos foram transferidos através de software de apoio remoto, a ESET considera que a implementação aconteceu enquanto a empresa prestava apoio técnico.

O Tick (também conhecido como “Bronze Butler” ou “Redbaldknight”) é um grupo APT que se pensa estar ativo desde pelo menos 2006. O grupo visa principalmente países da Ásia-Pacífico. As suas operações de ciberespionagem focam-se no roubo de informação confidencial e propriedade intelectual. O Tick utiliza um conjunto exclusivo de ferramentas maliciosas personalizadas concebidas para o acesso persistente a sistemas comprometidos, reconhecimento, exfiltração de dados e download de ferramentas.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Ataque-a-empresa-de-protecao-de-dados

A ESET descobriu websites falsos de Telegram e WhatsApp que visam sobretudo utilizadores de Android e Windows com versões falsas daquelas apps de mensagens instantâneas. A maioria das apps maliciosas detetadas são clippers – malware que verifica constantemente dados copiados pelo utilizador, neste caso, para roubar fundos de criptomoeda. Algumas destas apps usam inclusive reconhecimento ótico de caracteres para reconhecer texto em imagens armazenadas nos dispositivos atacados – uma estreia absoluta em malware Android.
​
Os operadores destas aplicações fraudulentas visam principalmente utilizadores de língua chinesa e não é por acaso: tanto o Telegram como o WhatsApp estão bloqueados na China há vários anos. Para obter estas aplicações, os utilizadores têm de recorrer a canais não oficiais, ficando mais expostos a ciberameaças.

A campanha foi iniciada através de Google Ads que conduziam para canais de YouTube fraudulentos. Por sua vez, esses canais de YouTube encaminhavam os utilizadores para os websites falsos de Telegram e WhatsApp. A ESET reportou de imediato os anúncios fraudulentos e canais de YouTube relacionados à Google, que os encerrou prontamente.

Funcionalidades das apps falsas

A função de reconhecimento de texto em imagens armazenadas nos dispositivos das vítimas (também conhecido por “optical character recognition” – OCR) está implementada nestas aplicações falsas de WhatsApp e Telegram para procurar e encontrar uma frase seed – um código mnemónico constituído por séries de palavras usadas para recuperar carteiras de criptomoeda. Ao obterem essa frase seed, os agentes maliciosos podem facilmente roubar a criptomoeda diretamente da carteira associada.

“O principal objetivo dos clippers que descobrimos é intercetar as comunicações de mensagens da vítima e substituir quaisquer endereços de carteiras de criptomoeda enviadas e recebidas por endereços pertencentes aos cibercriminosos. Para além das apps WhatsApp e Telegram Android falsas, também encontrámos versões Windows falsas das mesmas aplicações”, comentou a propósito o investigador da ESET Lukáš Štefanko.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Apps-falsas-do-WhatsApp-e-Telegram/

Os investigadores da ESET descobriram a backdoor WinorDLL64, um dos componentes descarregados pelo downloader Wslink. A região visada e semelhanças de comportamento e código sugerem que a ferramenta é usada pelo conhecido grupo cibercriminoso norte-coreano Lazarus. A carga do Wslink consegue extrair, substituir e remover ficheiros, executar comandos e obter informações sobre o sistema subjacente.

“O Wslink, cujo nome de ficheiro é WinorLoaderDLL64.dll, é um downloader para Windows que, ao contrário da maioria dos outros loaders deste tipo, corre como servidor e executa módulos recebidos em memória. Tal como o nome sugere, um loader serve como ferramenta para instalar uma carga maliciosa, ou o malware em si, num sistema previamente comprometido,” explica Vladislav Hrčka, o investigador da ESET que fez a descoberta. “A carga do Wslink pode ser usada mais tarde para movimento lateral, devido ao seu interesse específico em sessões de rede. O Wslink escuta uma porta especificada na sua configuração e pode atuar como servidor para clientes adicionais, e até instalar várias cargas,” acrescenta.

O WinorDLL64 contém semelhanças tanto em comportamento como em código com várias amostras do grupo Lazarus, o que indica que pode ser uma das ferramentas do vasto arsenal deste grupo norte-coreano.

A carga inicialmente desconhecida do Wslink foi carregada para a base de dados VirusTotal a partir da Coreia do Sul pouco tempo depois da publicação de um artigo da ESET sobre o Wslink. A telemetria da ESET só detetou algumas instâncias do Wslink na Europa Central, América do Norte e Médio Oriente.

Investigadores do AhnLab confirmaram vítimas sul-coreanas do Wslink na sua telemetria, o que em combinação com o facto da ESET só ter feito algumas deteções é um indicador relevante tendo em conta os alvos habituais do grupo Lazarus.

Ativo desde pelo menos 2009, o grupo Lazarus é responsável por incidentes de alto perfil como o ciberataque à Sony Pictures Entertainment em 2014, os ciberataques de dezenas de milhões de dólares em 2016, o ransomware WannaCryptor (também conhecido por WannaCry) em 2017 e um longo histórico de ciberataques disruptivos contra a infraestrutura pública da Coreia do Sul desde pelo menos 2011. A US-CERT e o FBI chamam a este grupo HIDDEN COBRA.

Para mais detalhes técnicos sobre o WinorDLL64, leia o artigo completo no blog oficial da ESET em inglês aqui.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/WinorDLL64/

As deteções de ameaças Android aumentaram em mais de 50% entre o 2.º e o 3.º quadrimestre de 2022, confirmou a ESET no seu mais recente Relatórios de Ameaças. O Adware e as apps ocultas que escondem os seus ícones para dificultar a remoção pelo utilizador (isto é, “Hidden Apps”) são os principais responsáveis pelo crescimento desta categoria de ciberameaça, que em Portugal cresceu 32% entre quadrimestres.
​
Entre o crescimento global de deteções de ameaças Android, muitas das quais estão presentes em lojas de apps de terceiros, a maioria refletiu tentativas de enriquecimento a partir de anúncios. Perto de 70% de todas as deteções de ameaças Android no 3.º quadrimestre foram deste tipo. Estas deteções, assinaladas como Aplicações Potencialmente Indesejadas (Potentially Unwanted Applications – PUAs), são aplicações projetadas para exibir anúncios em excesso ao utilizador com o objetivo de gerar receita para os criadores da aplicação.

O Adware do tipo “Fyben” em particular cresceu uns impressionantes 1100% entre quadrimestres. Esta deteção está associada a jogos móveis. O 3.º quadrimestre cobre um período (setembro a dezembro) em que developers lançam jogos novos ou versões atualizadas de jogos existentes para tirar partido do comércio no Natal. Nalguns casos, estes jogos não são lançados em todos os países. Assim, os utilizadores que não têm acesso oficial aos jogos procuram-nos em lojas ou websites não oficiais, onde as ameaças proliferam.

Tendências e futuro das ameaças Android

A prevalência de ameaças como as PUAs, que fazem dinheiro a partir do visionamento de anúncios, não foram as únicas a marcar a paisagem de ameaças Android no final de 2022. O Spyware também aumentou a sua presença graças a kits de Spyware prontos a usar e de fácil acesso disponíveis em fóruns online e usados por cibercriminosos amadores.

Nesse contexto, a ESET alerta que a paisagem de ameaças Android pode mudar muito em 2023. Chatbots potenciados por inteligência artificial como o ChatGPT já estão a ser usados para desenvolver novas ferramentas maliciosas, embora ainda não haja conhecimento de malware escrito assim para Android. Além disso, não se podem descartar os impactos de grupos cibercriminosos organizados, que continuam a desenvolver Spyware direcionado para recolher informação de alvos de alto perfil ou grupos vulneráveis de cidadãos.

Em todo o caso, os bons comportamentos online, aliados a produtos completos de proteção que mitigam os perigos das ameaças Android, são uma combinação poderosa para usar o smartphone com mais confiança e em maior segurança.

Para mais informações sobre o ESET Threat Report T3 2022, consulte o relatório completo.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Detecoes-Android-T3-2022/

A ESET revelou o seu Relatório de Ameaças relativo ao terceiro e último quadrimestre de 2022 (T3/2022), resumindo as principais estatísticas dos sistemas de deteção da ESET e destacando exemplos das suas análises de cibersegurança.
​
A última edição do Relatório de Ameaças da ESET (que cobre o período de setembro a dezembro de 2022) destaca o impacto da guerra em curso na Ucrânia e os seus efeitos no mundo, incluindo o ciberespaço. A invasão continua a ter um grande impacto nos preços da energia, na inflação e nas ciberameaças, com as ameaças de ransomware a registarem algumas das maiores mudanças.

“A guerra em curso na Ucrânia criou uma divisão entre os operadores de ransomware, com alguns a apoiarem e outros a oporem-se à agressão. Os atacantes também têm vindo a usar táticas cada vez mais destrutivas, como o uso de ‘limpadores’ [“wipers”] que imitam o ransomware e encriptam os dados da vítima – mas sem a intenção de fornecer uma chave de desencriptação”, explica Roman Kováč, Director de Pesquisa da ESET.

A guerra também afetou ataques de força bruta contra serviços RDP expostos, mas apesar do declínio destes ataques em 2022, a tentativa de adivinhar passwords continua a ser o vetor de ataque de rede mais usado. A vulnerabilidade Log4j [em servidores Apache], para a qual estão disponíveis correções desde dezembro de 2021, ainda está em segundo lugar no ranking dos vetores de intrusão externa.

O relatório também explica o impacto das taxas de câmbio de criptomoeda e do aumento dos preços da energia em várias cripto-ameaças, com fraudes relacionadas com criptomoeda a experimentarem uma renascença. Os produtos da ESET bloquearam um aumento de 62% nos sites de phishing de criptomoedas no T3, e o FBI emitiu recentemente um aviso sobre um aumento em novos esquemas de investimento em cripto. As deteções de “infostealers” [malware desenhado para roubar dados pessoais] em geral caíram tanto no T3 como em todo o ano de 2022; no entanto, o malware bancário foi uma exceção, com as deteções a duplicarem numa comparação com o T3 de 2021.

"A plataforma Android também viu um aumento de spyware ao longo do ano, devido ao fácil acesso a kits de spyware disponíveis em vários fóruns online e utilizados por atacantes amadores", acrescentou Kováč.

O Relatório de Ameaças ESET T3/2022 também analisa as descobertas e realizações mais importantes dos investigadores da ESET. É o caso da descoberta da campanha MirrorFace, que teve como alvo específico [“spearfishing”] entidades políticas japonesas de alto nível, e de um novo ransomware chamado RansomBoggs que tem como alvo múltiplas organizações na Ucrânia e, tudo indica, foi criado pelo grupo de hackers Sandworm. Os investigadores da ESET também descobriram uma campanha conduzida pelo grupo Lazarus que procura igualmente alvos específicos com e-mails contendo documentos com ofertas de emprego falsas; um deles foi enviado a um funcionário de uma empresa aeroespacial.

Quanto aos ataques da cadeia de abastecimento, os especialistas da ESET encontraram um novo limpador e a sua ferramenta de execução, ambos atribuídos ao grupo Agrius APT, visando os utilizadores de um software israelita utilizado na indústria dos diamantes.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Threat-Report-T3-2022

A rápida difusão e potencial de utilização de chatbots, ou bots de conversação, como o ChatGPT assinala a entrada numa nova fase de ciberameaças cada vez mais difíceis de detetar sem tecnologias de neutralização. A ESET, especialista europeia em cibersegurança, alerta que a chegada ao grande-público de um dos primeiros exemplos reais de tecnologia de inteligência artificial (IA) gratuita e fácil de usar pode reduzir quer a capacidade de reconhecimento das ameaças pelos utilizadores, quer a barreira de entrada a novos agentes maliciosos que tiram partido da capacidade do ChatGPT para escrever emails de phishing e malware.

Já com mais de um milhão de utilizadores, o ChatGPT potenciado por IA mobiliza grandes volumes de dados na Internet para responder a questões com aparente autoridade, naturalidade e em múltiplas línguas, incluindo português europeu. Segundo a ESET, este tipo de automação está a tornar-se numa enorme ameaça para a segurança dos utilizadores, que precisam de treinar a sua capacidade de deteção humana para reconhecer situações de perigo enquanto as tecnologias de resposta não recuperarem terreno.

“O ChatGPT tem um potencial de uso virtualmente ilimitado e, nesse sentido, proporciona-se a aplicações de cibercrime,” comenta a propósito Ricardo Neves, Marketing Manager da ESET em Portugal. “Desde emails de phishing passando por malware incrivelmente bem elaborado e difícil de reconhecer, é provável que esta atividade potenciada por IA exponha mais utilizadores e dispositivos a ciberameaças. No entanto, o ChatGPT ainda está numa fase embrionária. Os utilizadores devem ficar atentos a erros suspeitos no texto que indiciem que se trata de uma tentativa de fraude.”

Hackers já estão a conseguir que o ChatGPT produza ciberameaças para atingir qualquer alvo a qualquer momento. Com a ajuda do ChatGPT, os emails de phishing podem conseguir manipular os utilizadores com padrões de comunicação ainda mais convincentes e sem erros gritantes. A criação de infostealers básicos também se pode tornar mais célere e avançada, corrigindo inclusive erros no código. E embora esse código ainda não se compare ao de grupos cibercriminosos estabelecidos, a automação por IA reduz a barreira de entrada a agentes maliciosos menos experientes.
À medida que ferramentas potenciadas por IA como o ChatGPT se tornam mais amplamente disponíveis, é provável que mais cibercriminosos comecem a usá-las. Já se conhecem exemplos disso, como o uso indevido de imagens geradas por IA em campanhas de desinformação. Para a ESET, a maior preocupação é a automação e escalabilidade desta tecnologia.

Apesar de não existirem atualmente APIs oficiais do ChatGPT, existem opções criadas pela comunidade. Segundo a especialista em cibersegurança, isto tem o potencial de industrializar a criação e personalização de páginas web maliciosas, campanhas de phishing direcionadas e manobras de engenharia social, entre outras.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ChatGPT/