A ESET Portugal realizou no passado dia 29 de maio, em Ílhavo, mais uma edição do ESET Partner Meeting, que contou com a presença de mais de 100 parceiros de todo o país. Nesta edição, destacámos o novo programa ESET Partner Connect, concebido para impulsionar o crescimento dos canais B2C, B2B e MSP, oferecendo novas oportunidades de negócio e maior proximidade ao mercado.

O Diretor Geral da ESET Portugal, Nuno Mendes, apresentou o futuro programa ESET Partner Connect, com foco nos canais B2C, B2B e MSP. Este programa representa uma evolução e traduz-se em novas oportunidades de negócio e maior proximidade ao mercado.

Ricardo Neves, Marketing Manager da ESET Portugal, destacou a forma como a empresa tem vindo a adaptar-se à evolução das ciberameaças, nos diferentes mercados de consumo e empresarial. A apresentação reforçou a robustez e diversidade do portefólio da ESET, assente em tecnologia multicamada com inteligência artificial, desenvolvido para proteger consumidores e empresas num cenário digital cada vez mais desafiante.
A componente técnica do evento contou com uma intervenção de Ondrej Kubovič, Security Awareness Specialist da ESET Headquarters, que apresentou uma visão comparativa exclusiva da evolução das ciberameaças em Portugal e no contexto global. A análise incluiu temas críticos como infostealers (Redline, Lumma), phishing com ReCaptcha, apps maliciosas e fraudes com identidade de celebridades, como o caso Nomani. A sessão alertou para a crescente necessidade de reforçar a ciber-resiliência nos vários setores.

Benjamin Burgher-Fuller, Global Sales Engineer Lead da ESET Headquarters, abordou a oferta ESET MDR (Managed Detection & Response), demonstrando os seus benefícios e partilhando casos práticos que comprovam a eficácia da solução na proteção contra ameaças avançadas. O evento terminou com a apresentação de Alexander Skopetz, da Xopero, empresa membro da ESET Technology Alliance, que destacou o papel das soluções de backup e disaster recovery como componentes críticas de uma estratégia de proteção de dados abrangente e eficaz para parceiros de canal.

Nuno Mendes, Diretor Geral da ESET Portugal, afirmou que: “Este evento foi um verdadeiro sucesso e reflete não só o crescimento exponencial da ESET no canal de parceiros, como também a maturidade e o compromisso desta comunidade em levar ao mercado nacional soluções de cibersegurança de confiança — desenvolvidas na Europa, com base em inovação, privacidade e independência tecnológica. É este alinhamento que nos permite continuar a crescer juntos”.

O ESET Partner Meeting 2025 reforçou mais uma vez o compromisso da fabricante com os seus parceiros, promovendo um espaço de partilha, alinhamento estratégico e visão colaborativa para o futuro da cibersegurança em Portugal.
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-Partner-Meeting-2025
​

A ESET, empresa europeia líder em soluções de cibersegurança, lançou o seu mais recente Relatório de Atividade APT, que destaca as atividades de grupos APT (Ameaça Persistente Avançada) selecionados e documentados por investigadores da ESET de outubro de 2024 a março de 2025. Durante o período monitorizado, grupos alinhados com a Rússia, nomeadamente o Sednit e o Gamaredon, mantiveram campanhas agressivas visando principalmente a Ucrânia e países da UE.

A Ucrânia foi alvo da maior intensidade de ciberataques contra as infraestruturas críticas e as instituições governamentais do país. O grupo Sandworm, também alinhado com a Rússia, intensificou as operações destrutivas contra as empresas ucranianas do setor da energia, utilizando um novo wiper (malware que apaga dados) chamado ZEROLOT. Os grupos alinhados com a China continuaram a participar em campanhas de espionagem persistentes, centradas em organizações europeias.

O Gamaredon continuou a ser o grupo APT mais prolífico a visar a Ucrânia, melhorando a ofuscação de malware e introduzindo o PteroBox, um stealer (malware que rouba ficheiros) que utiliza o Dropbox.

"O infame grupo Sandworm concentrou-se fortemente no comprometimento das infraestruturas energéticas ucranianas. Em casos recentes, implantou o ZEROLOT na Ucrânia. Para isso, os atacantes abusaram da Política de Grupo do Active Directory nas organizações afetadas", afirmou Jean-Ian Boutin, Diretor de Investigação de Ameaças da ESET.

O Sednit refinou a sua exploração de vulnerabilidades de scripts entre sites em serviços de webmail, expandindo a Operação RoundPress da Roundcube para incluir Horde, MDaemon e Zimbra. A ESET descobriu que o grupo explorou com sucesso uma vulnerabilidade de dia zero no Servidor de Email MDaemon contra empresas ucranianas. Vários ataques do Sednit contra empresas de defesa localizadas na Bulgária e na Ucrânia utilizaram campanhas de spearphishing (phishing personalizado) de email como isco. Outro grupo alinhado com a Rússia, o RomCom, demonstrou capacidades avançadas ao explorar vulnerabilidades de dia zero contra o Microsoft Windows e o Mozilla Firefox.

Na Ásia, os grupos APT alinhados com a China continuaram as suas campanhas contra instituições governamentais e académicas. Ao mesmo tempo, os agentes de ameaças alinhados com a Coreia do Norte aumentaram significativamente as suas operações dirigidas à Coreia do Sul, dando especial ênfase a indivíduos, empresas privadas, embaixadas e pessoal diplomático.

O Mustang Panda continuou a ser o mais ativo, visando instituições governamentais e empresas de transporte marítimo através de loaders (malware que carrega malware adicional) Korplug e unidades USB maliciosas. O DigitalRecyclers continuou a visar entidades governamentais da UE, implementando os backdoors (ferramentas para ultrapassar ciberproteção) RClient, HydroRShell e GiftBox. O PerplexedGoblin utilizou o seu novo backdoor de espionagem, que a ESET designou por NanoSlate, contra uma entidade governamental da Europa Central, enquanto o Webworm visou uma organização governamental sérvia utilizando a VPN SoftEther, enfatizando a contínua popularidade desta ferramenta entre os grupos alinhados com a China.

Noutros locais da Ásia, os grupos APT alinhados com a Coreia do Norte estiveram particularmente ativos em campanhas com motivações financeiras. O DeceptiveDevelopment alargou significativamente o seu alvo, utilizando ofertas de emprego falsas principalmente nos setores de criptomoeda, blockchain e finança. O grupo utilizou técnicas inovadoras de engenharia social para distribuir o malware multiplataforma WeaselStore. O roubo de criptomoedas Bybit, atribuído pelo FBI ao grupo TraderTraitor, envolveu um comprometimento da cadeia de abastecimento da Safe{Wallet} que causou perdas de aproximadamente 1,5 mil milhões de dólares.

Entretanto, outros grupos alinhados com a Coreia do Norte registaram flutuações no seu ritmo operacional: no início de 2025, o Kimsuky e o Konni voltaram aos seus níveis de atividade habituais após um declínio notável no final de 2024, desviando o seu alvo dos think tanks de língua inglesa, ONGs e especialistas da Coreia do Norte para se concentrarem principalmente em entidades e pessoal diplomático sul-coreanos; e o Andariel ressurgiu, após um ano de inatividade, com um ataque sofisticado contra uma empresa de software industrial sul-coreana.

Os grupos APT alinhados com o Irão mantiveram o seu foco principal na região do Médio Oriente, visando predominantemente organizações governamentais e entidades dos setores da indústria e da engenharia em Israel. Para além disso, a ESET observou um aumento global significativo nos ciberataques contra empresas de tecnologia, em grande parte atribuído ao aumento da atividade do DeceptiveDevelopment.

"As operações destacadas são representativas do cenário mais amplo de ameaças que investigámos durante este período. Ilustram as principais tendências e desenvolvimentos, e contêm apenas uma pequena fração dos dados de inteligência de cibersegurança fornecidos aos clientes dos relatórios APT da ESET", acrescentou Boutin.

Relatório completo: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2024-q1-2025.pdf

O Departamento de Justiça dos Estados Unidos (DOJ) apresentou uma acusação contra funcionários da empresa chinesa I-SOON pelo seu envolvimento em várias operações de ciberespionagem global. A ESET documentou anteriormente estas operações nos seus relatórios de Threat Intelligence e atribuiu-as ao grupo FishMonger – o braço operacional da I-SOON – incluindo um que envolveu sete organizações que a ESET identificou como sendo alvo de uma campanha de 2022 que denominou Operação FishMedley.

Juntamente com a acusação, o FBI (que se refere ao FishMonger como Aquatic Panda) adicionou os nomes citados à sua lista dos mais procurados. A acusação descreve vários ataques que estão fortemente relacionados ao que a ESET publicou num relatório no início de 2023. Hoje, a ESET partilha informação sobre esta campanha global que teve como alvo governos, organizações não governamentais (ONGs) e think tanks na Europa, Ásia e Estados Unidos.

“Durante 2022, a ESET investigou vários comprometimentos onde implantes como o ShadowPad e o SodaMaster, que costumam estar associados a agentes de ameaça alinhados com a China, foram usados. Conseguimos agrupar sete incidentes independentes para a Operação FishMedley”, diz o investigador da ESET Matthieu Faou, que investigou a operação do FishMonger. “Durante a nossa investigação, conseguimos confirmar de forma independente que o FishMonger é uma equipa de espionagem operada pela I-SOON, uma empresa chinesa com sede em Chengdu que sofreu uma infame fuga de documentos em 2024”, acrescenta Faou.

Em 2022, na Operação FishMedley, o FishMonger atacou organizações governamentais em Taiwan e na Tailândia, instituições de caridade católicas na Hungria e nos Estados Unidos, uma ONG nos Estados Unidos, um think tank geopolítico em França e uma organização desconhecida na Turquia. Estas verticais e países são diversos, mas a maioria é de interesse óbvio para o governo chinês.

Na maioria dos casos, os atacantes pareciam ter acesso privilegiado dentro da rede local, como credenciais de administrador. Os operadores utilizaram implantes, como o ShadowPad, o SodaMaster e o Spyder, que são comuns ou exclusivos de atores de ameaça alinhados com a China. Entre outras ferramentas usadas pelo FishMonger no FishMedley estão um exfiltrador de passwords, uma ferramenta usada para interagir com o Dropbox, provavelmente usada para exfiltrar dados da rede da vítima, o scanner de rede fscan e um scanner NetBIOS.

O FishMonger está sob a alçada do Grupo Winnti e, muito provavelmente, está a operar a partir da China, da cidade de Chengdu, onde o escritório da I-SOON presumivelmente continua a estar localizado. O FishMonger também é conhecido como Earth Lusca, TAG 22, Aquatic Panda ou Red Dev 10. A ESET publicou uma análise deste grupo no início de 2020, quando visou fortemente as universidades de Hong Kong durante os protestos cívicos que começaram em junho de 2019.

O grupo é conhecido por realizar ataques do tipo “watering hole”. O conjunto de ferramentas do FishMonger inclui o ShadowPad, o Spyder, o Cobalt Strike, o FunnySwitch, o SprySOCKS e o BIOPASS RAT.

Mais informações: https://www.welivesecurity.com/en/eset-research/operation-fishmedley

Investigadores da ESET detetaram atividades de ciberespionagem realizadas pelo grupo MirrorFace, alinhado com a China, contra um instituto diplomático da Europa Central no contexto da World Expo 2025, que será realizada este ano em Osaka, no Japão.

Conhecido principalmente pelas suas atividades de ciberespionagem contra organizações no Japão, tanto quanto a ESET conseguiu determinar esta é a primeira vez que o MirrorFace mostra intenção de se infiltrar numa entidade europeia. A campanha foi descoberta no segundo e terceiro trimestre de 2024 e denominada Operação AkaiRyū (japonês para RedDragon) pela ESET; ela mostra TTPs (Técnicas, Táticas e Procedimentos) atualizados que a ESET observou ao longo do ano passado.

“O MirrorFace teve como alvo um instituto diplomático da Europa Central. Tanto quanto sabemos, esta é a primeira e, até à data, a única vez que o MirrorFace tem como alvo uma entidade na Europa”, afirma o investigador da ESET Dominik Breitenbacher, que investigou a campanha AkaiRyū.

Os operadores do MirrorFace prepararam o seu ataque de spearphishing (phishing direcionado) criando um email que faz referência a uma interação anterior e legítima entre o instituto e uma ONG japonesa. Durante este ataque, o grupo utilizou a próxima World Expo 2025 – a realizar em Osaka, no Japão – como isco. Isto mostra ainda que, mesmo considerando este novo alvo geográfico mais alargado, o MirrorFace continua concentrado no Japão e em eventos com ele relacionados.

Antes do ataque ao instituto diplomático europeu, o MirrorFace visou dois funcionários de um instituto de investigação japonês, utilizando um documento Word malicioso e protegido por palavra-passe, entregue de forma desconhecida.

Durante a análise da Operação AkaiRyū, a ESET descobriu que o MirrorFace atualizou significativamente os seus TTPs e ferramentas. O MirrorFace começou a usar o ANEL (também conhecido como UPPERCUT) – uma backdoor considerada exclusiva do grupo APT10 – que se acreditava ter sido abandonada há anos; no entanto, a atividade mais recente sugere que o desenvolvimento do ANEL foi reiniciado. O ANEL suporta comandos básicos para manipulação de ficheiros, execução de payloads e captura de imagens de ecrã.

“A utilização do ANEL também fornece mais provas no debate em curso sobre a potencial ligação entre o MirrorFace e o APT10. O facto de o MirrorFace ter começado a utilizar o ANEL, juntamente com outras informações previamente identificadas, como a semelhança de alvos e de código de malware, levou-nos a alterar a nossa atribuição: acreditamos agora que o MirrorFace é um subgrupo do APT10”, acrescenta Breitenbacher.

Além disso, o MirrorFace implantou uma variante altamente personalizada do AsyncRAT, incorporando este malware numa cadeia de execução intrincada e recém-observada que executa o RAT (trojan de acesso remoto) dentro da Windows Sandbox. Este método esconde eficazmente as atividades maliciosas das capacidades de controlos de segurança para detetar a infeção.

Paralelamente ao malware, o MirrorFace também começou a implementar o Visual Studio Code (VS Code) para abusar da sua funcionalidade de túneis remotos. Os túneis remotos permitem ao MirrorFace estabelecer um acesso furtivo à máquina comprometida, executar código arbitrário e implantar outras ferramentas. Finalmente, o MirrorFace continuou a empregar a sua atual backdoor principal, HiddenFace, reforçando ainda mais a persistência em máquinas comprometidas.

Entre junho e setembro de 2024, a ESET observou o MirrorFace a conduzir várias campanhas de spearphishing. Com base nos dados da ESET, os atacantes obtiveram acesso inicial principalmente enganando os alvos para que abrissem anexos ou links maliciosos e, em seguida, aproveitaram aplicações e ferramentas legítimas para instalar furtivamente o seu malware. Especificamente, na Operação AkaiRyū, o MirrorFace abusou de aplicações desenvolvidas pela McAfee e também de uma desenvolvida pela JustSystems para executar o ANEL.

A ESET colaborou com o instituto diplomático da Europa Central afetado e realizou uma investigação forense. A estreita colaboração com a organização afetada proporcionou uma visão rara e profunda das atividades pós-comprometimento que, de outra forma, não teriam sido vistas. A ESET apresentou os resultados desta análise na Joint Security Analyst Conference (JSAC) em janeiro de 2025.

Mais informações: https://www.welivesecurity.com/en/eset-research/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor

No habitual jogo do gato e do rato com os gestores de TI, na segunda metade de 2024 os cibercriminosos mantiveram-se ocupados, encontrando lacunas na segurança e formas inovadoras de expandir o seu leque de vítimas. Mas houve um tipo de ameaça e de alvo que, de acordo com os investigadores da ESET, se destacaram: os “infostealers” e as criptomoedas.

O “Threat Report” da ESET referente ao período de junho a novembro de 2024 salienta as ameaças recorrentes dos chamados “Infostealers”, bem como alterações registadas nas ferramentas mais usadas para roubo de dados. 
Sem surpresa, com as criptomoedas a atingir valores recordes no segundo semestre de 2024, os dados das carteiras de criptomoedas foram um dos principais alvos dos agentes maliciosos. Na telemetria da ESET, isso refletiu-se num aumento nas deteções de ‘cryptostealers’ [infostealers específicos para roubo de dados de carteiras de criptomoedas] em várias plataformas. 

Curiosamente, o aumento mais dramático foi registado no macOS, onde o chamado Password Stealing Ware – que visa fortemente as credenciais de carteiras de criptomoedas – registou um aumento de 127% em comparação com o primeiro semestre do ano. Ao mesmo tempo, as ameaças financeiras no Android, que visam aplicações bancárias e carteiras de criptomoedas, aumentaram 20%.

Os utilizadores de Android, mas também os de dispositivos iOS, devem estar atentos a um novo vetor de ataque, já capturado ‘in the wild’ e analisado pelos investigadores da ESET no segundo semestre de 2024. Nesses ataques, os cibercriminosos aproveitaram as tecnologias Progressive Web App (PWA) e WebAPK para contornar as medidas de segurança tradicionais vinculadas aos aplicativos móveis. 

A razão é que nem os PWAs nem os WebAPKs exigem que os utilizadores concedam permissões explícitas para instalar aplicações de fontes desconhecidas; desta forma, os utilizadores das duas maiores plataformas móveis podem acabar por instalar involuntariamente aplicações maliciosas que roubam credenciais bancárias. E, a menos que haja uma mudança na forma como estas plataformas abordam este tipo de tecnologias, a ESET prevê o aparecimento de campanhas de phishing mais sofisticadas e variadas, utilizando PWAs e WebAPKs.

Redes sociais, IA e vídeos ‘deepfake’

Recentemente, as águas das redes sociais tornaram-se ainda mais turvas, com o aparecimento de uma série de novas fraudes que utilizam vídeos ‘deepfake’ e publicações com marcas de empresas para atrair as vítimas para esquemas de investimento fraudulentos. 

Esses golpes, rastreados pela ESET como HTML/Nomani, tiveram um aumento de 335% nas deteções entre os períodos do relatório, e não se espera que o seu crescimento diminua.

O segundo semestre de 2024 também deu origem a um novo golpe direcionado aos utilizadores de plataformas populares de reserva de alojamento, como o Booking.com e o Airbnb. Utilizando um kit de ferramentas denominado Telekopye, originalmente desenvolvido para defraudar pessoas em mercados online, os burlões utilizam contas comprometidas de fornecedores de alojamento legítimos para identificar pessoas que tenham reservado recentemente uma estadia e, em seguida, direcionam-nas para páginas de pagamento fraudulentas.

O relatório completo da ESET pode ser acedido aqui.

A ESET, maior fabricante europeu de cibersegurança, anunciou hoje o lançamento da atualização da sua oferta para consumidores ESET HOME Security, introduzindo novas funcionalidades como o ESET Folder Guard e o Multithread Scanning, juntamente com uma melhoria geral das suas capacidades. A Proteção de Identidade com Dark Web Monitoring está agora disponível globalmente.

Estas melhorias no ESET HOME Security, enquanto solução tudo-em-um para consumidores, correspondem ao número cada vez maior de ameaças avançadas, automatizadas e potenciadas por IA que visam indivíduos e respondem às crescentes preocupações com a privacidade dos dados, ataques de ransomware, phishing e burlas.

Apesar de estar repleto da mais recente tecnologia, o ESET HOME Security continua a ser fácil de utilizar graças ao ESET HOME, uma plataforma de gestão de segurança completa disponível em todos os principais sistemas operativos – Windows, macOS, Android, iOS – e que abrange todos os dispositivos domésticos inteligentes típicos. Agora, o ESET HOME Security oferece uma proteção doméstica ainda melhor.

“Como um fornecedor de proteção da vida digital, a ESET dedica-se a estar sempre um passo à frente dos adversários. A nossa equipa de especialistas criou uma solução de proteção da vida digital que combina mais de 30 anos de experiência humana com inteligência artificial, tecnologia de segurança multicamada e proteção em tempo real na nuvem. Seguindo uma abordagem de prevenção em primeiro lugar que impede as ameaças antes que elas possam causar qualquer dano, o ESET HOME Security traz paz de espírito em relação à privacidade e segurança, mantendo-se fácil de usar, poderoso, leve e rápido”, disse Viktória Ivanová, Vice-Presidente do Segmento de Consumo e IoT da ESET.

Para complementar a longa lista de camadas de proteção já existentes, incluindo Antivírus e Antispyware, Firewall, Ransomware Shield, Anti-Phishing, Banca Segura, Navegação Segura, Gestor de Palavras-Passe, VPN e Antirroubo – para citar apenas algumas – foram adicionadas novas funcionalidades e melhorias:

Nova Dark Web Monitoring — A Proteção de Identidade vasculha sites na dark web, chatrooms do mercado negro, blogs e outras fontes de dados para detetar o comércio ilegal e a venda de informações pessoais dos utilizadores. A tecnologia da ESET envia alertas imediatos para que os utilizadores possam tomar rapidamente medidas.

Novo ESET Folder Guard -- Esta tecnologia ajuda a proteger os dados valiosos dos utilizadores de Windows contra aplicações maliciosas e ameaças, como ransomware, worms e wipers (malware que pode danificar ou até apagar os dados dos utilizadores). Os utilizadores podem criar uma lista de pastas protegidas – os ficheiros nestas pastas não podem ser modificados ou eliminados por aplicações não confiáveis.

Novo Multithread Scanning -- Melhora o desempenho da análise para dispositivos com processadores multicore utilizando o Windows, distribuindo os pedidos de análise pelos núcleos de CPU disponíveis. Podem existir tantas threads de análise quantos os núcleos de processador existentes na máquina.

Novo Link Scanner — Esta funcionalidade melhora o ESET Mobile Security Anti-Phishing que, em geral, bloqueia potenciais ataques de phishing provenientes de websites ou domínios listados na base de dados de malware da ESET. O Link Scanner é uma camada adicional de proteção para os utilizadores de smartphones Android que permite ao ESET Mobile Security verificar todos os links que um utilizador tenta abrir, não apenas aqueles provenientes de websites suportados e aplicações de redes sociais. Por exemplo, se um utilizador recebe um link de phishing num jogo e o abre, o link é primeiro redirecionado para o ESET Mobile Security, onde é verificado, antes de ser redirecionado para o navegador. Se o utilizador estiver a usar um navegador não suportado, o Link Scanner simplesmente bloqueia o link malicioso.

Modo de Jogador melhorado — Esta funcionalidade destina-se a utilizadores que exigem uma utilização ininterrupta do seu software sem janelas pop-up e que pretendem minimizar a utilização do CPU. A versão melhorada permite aos utilizadores criar uma lista de aplicações que iniciam automaticamente o modo de jogador. Para os jogadores mais cautelosos, existe também uma nova opção para apresentar alertas interativos enquanto o modo de jogador está a correr.

Gestor de Palavras-Passe melhorado — O ESET Password Manager agora inclui uma opção para sair remotamente do Gestor de Palavras-Passe quando ele tiver uma sessão iniciada noutros dispositivos. Os utilizadores podem verificar a sua palavra-passe em relação à lista de violação de palavras-passe e visualizar um relatório de segurança que informa os utilizadores se utilizarem palavras-passe fracas ou duplicadas para as suas contas armazenadas. O Gestor de Palavras-Passe tem uma opção integrada para utilizar programas externos como uma autenticação de dois fatores (2FA) opcional.

Cibersegurança melhorada para utilizadores de Mac — Os níveis do ESET HOME Security para utilizadores de Mac têm agora uma nova Firewall unificada com opções de configuração básicas e avançadas na Interface Gráfica do Utilizador (GUI) principal. Isto significa que a solução é adaptada às necessidades dos utilizadores, desde as básicas às mais avançadas, sem definições desnecessárias.

Este robusto produto de segurança tudo-em-um é a solução ideal para todos os que têm preocupações para além da cibersegurança geral e inclui proteção da privacidade, proteção da identidade, otimização do desempenho, proteção dos dispositivos e proteção doméstica inteligente. Porque num mundo de ciberameaças avançadas, a qualidade é importante.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Hercules

Os investigadores da ESET descobriram que a rede organizada de burlões Telekopye expandiu as suas operações para visar os utilizadores de plataformas de reservas populares como o Booking.com e o Airbnb. A rede também aumentou a sofisticação da seleção das vítimas e da imitação dos websites de reservas, tornando as páginas de phishing ainda mais credíveis do que as usadas até agora.

O Telekopye é um conjunto de ferramentas que funciona como um bot do Telegram, transformando as burlas de mercados online em negócios ilícitos organizados. É usado por dezenas de grupos fraudulentos com até milhares de membros para roubar milhões de euros às suas vítimas. A ESET apresentou as últimas descobertas sobre o Telekopye na conferência Virus Bulletin de 2024.

Na rede de burlões Telekopye, os membros referem-se aos compradores e vendedores visados como Mamutes. Os burlões, chamados Neandertais pelos investigadores da ESET, requerem pouco ou nenhum conhecimento técnico – o Telekopye trata de tudo numa questão de segundos. De acordo com a telemetria da ESET, as fraudes de reserva começaram a ganhar força em 2024. As fraudes relacionadas com alojamento registaram um aumento acentuado em julho, ultrapassando pela primeira vez os esquemas de mercados online do Telekopye, com mais do dobro das deteções. Em agosto e setembro, as duas categorias mantiveram-se a níveis semelhantes.

A crescente popularidade dos mercados online tem atraído os cibercriminosos que se aproveitam de compradores e vendedores desprevenidos, procurando obter dados de cartões de crédito em vez de pechinchas. Uma vez que este aumento de fraudes de reservas coincide com a época de férias de verão nas regiões visadas – altura privilegiada para tirar partido das pessoas que reservam estadias – resta saber se esta tendência se mantém. Com base nos dados de 2024, estas novas burlas acumularam aproximadamente metade dos números de deteção das variantes de mercados online. As novas burlas centram-se principalmente em duas plataformas – Booking.com e Airbnb – em comparação com a grande variedade de mercados online visados pelo Telekopye.

Neste novo cenário de fraude, os burlões enviam um email a um utilizador-alvo de uma destas plataformas, alegando um problema com o pagamento da sua reserva. O email contém uma hiperligação para uma página web bem elaborada e de aspeto legítimo que imita a plataforma utilizada. A página contém informações pré-preenchidas sobre uma reserva, tais como as datas de check-in e check-out, o preço e a localização – e as informações fornecidas nas páginas fraudulentas correspondem às reservas reais efetuadas pelos utilizadores visados.

“Os burlões conseguem isto através da utilização de contas comprometidas de hotéis e alojamentos legítimos nas plataformas, que provavelmente obtêm através da compra de credenciais roubadas em fóruns de cibercriminosos. Através do seu acesso a estas contas, os burlões selecionam os utilizadores que reservaram recentemente uma estadia e ainda não pagaram, ou pagaram muito recentemente, e visam-nos”, explica Radek Jizba, investigador da ESET que descobriu e analisou o Telekopye. “Esta abordagem torna a fraude muito mais difícil de detetar, uma vez que a informação fornecida é pessoalmente relevante para as vítimas e os websites têm o aspeto esperado. Os únicos sinais visíveis de que algo está errado são os URLs dos websites, que não correspondem aos sites legítimos e imitados”, acrescenta.

Para além de diversificarem a sua carteira de alvos, os Neandertais também tentaram melhorar as suas ferramentas e operações para aumentar os seus ganhos.

“Antes de preencher qualquer formulário relacionado com a sua reserva, certifique-se sempre de que não saiu do website ou da app oficial da plataforma em questão. Ser direcionado para um URL externo para prosseguir com a reserva e o pagamento é um forte indicador de uma fraude”, aconselha Jizba.

No final de 2023, depois de a ESET ter publicado a sua série de duas partes sobre o Telekopye, a polícia checa e ucraniana prendeu dezenas de cibercriminosos que utilizavam o Telekopye, incluindo os principais intervenientes, em duas operações conjuntas. Ambas as operações visavam um número não especificado de grupos Telekopye, que tinham acumulado pelo menos 5 milhões de euros desde 2021, com base em estimativas da polícia.

Para uma análise mais detalhada sobre as mais recentes atividades do Telekopye, leia o whitepaper da ESET no seu blog WeLiveSecurity.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/Telekopye

A ESET examinou as operações do Gamaredon, um grupo APT (Ameaça Persistente Avançada) alinhado com a Rússia que está ativo desde pelo menos 2013 e é atualmente o grupo APT mais envolvido na Ucrânia. O Gamaredon foi atribuído pelo SSU (Serviço de Segurança da Ucrânia) ao 18º CIB (Centro de Segurança da Informação) do FSB (Serviço Federal de Segurança da Federação Russa), que opera a partir da Crimeia ocupada. A ESET acredita que este grupo está a colaborar com outro grupo cibercriminoso que a ESET descobriu e identificou como InvisiMole.

A maioria dos ataques de ciberespionagem do Gamaredon são dirigidos contra instituições governamentais ucranianas. No entanto, em abril de 2022 e fevereiro de 2023, a ESET também observou algumas tentativas de comprometer alvos em vários países da NATO, nomeadamente a Bulgária, Letónia, Lituânia e Polónia, mas não foram observados ataques bem-sucedidos.

O Gamaredon utiliza truques de ofuscação em constante mudança e numerosas técnicas para contornar o bloqueio baseado no domínio. Estas táticas representam um desafio significativo para os esforços de rastreamento, pois tornam mais difícil para os sistemas detetar e bloquear automaticamente as ferramentas do grupo. No entanto, durante a investigação da ESET, os seus investigadores conseguiram identificar e compreender estas táticas e acompanharam as atividades do Gamaredon.

O grupo tem implantado metodicamente as suas ferramentas maliciosas contra seus alvos desde muito antes do início da invasão de 2022. Para comprometer novas vítimas, o Gamaredon realiza campanhas de spearphishing e, em seguida, usa o seu malware personalizado para transformar em armas documentos Word e unidades USB acessíveis à vítima inicial, esperando que sejam compartilhados com outras vítimas potenciais.

Durante 2023, o Gamaredon melhorou notavelmente as suas capacidades de ciberespionagem e desenvolveu várias novas ferramentas em PowerShell, com o objetivo de roubar dados valiosos – de clientes de email, aplicações de mensagens instantâneas como o Signal e o Telegram, e aplicações web a correr em browsers.  No entanto, o PteroBleed, um infostealer descoberto pela ESET em agosto de 2023, também se concentra no roubo de dados relacionados com um sistema militar ucraniano – e do serviço de webmail utilizado por uma instituição governamental ucraniana.

“O Gamaredon, ao contrário da maioria dos grupos APT, não tenta ser furtivo e permanecer oculto o maior tempo possível, utilizando novas técnicas durante a realização de operações de ciberespionagem: os operadores são imprudentes e não se importam de serem descobertos pelos defensores durante as suas atividades. Apesar de não se importarem tanto com o facto de serem discretos, fazem um grande esforço para evitar serem bloqueados por produtos de segurança e esforçam-se muito para manter o acesso aos sistemas comprometidos”, explica o investigador da ESET Zoltán Rusnák, que investigou o Gamaredon.

“Normalmente, o Gamaredon tenta preservar o seu acesso através da implementação simultânea de vários downloaders ou backdoors simples. A falta de sofisticação das ferramentas do Gamaredon é compensada por atualizações frequentes e pela utilização de ofuscação que muda regularmente”, acrescenta Rusnák. “Apesar da relativa simplicidade das suas ferramentas, a abordagem agressiva e a persistência do Gamaredon fazem dele uma ameaça significativa. Dada a guerra em curso na região, prevemos que o Gamaredon continue a concentrar-se na Ucrânia”, conclui.

Para uma análise mais detalhada e técnica das ferramentas e atividades do Gamaredon, consulte o mais recente whitepaper da ESET aqui.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/Gamaredon

A ESET, a maior empresa europeia de soluções de cibersegurança, lançou recentemente o seu Relatório de Ameaças referente ao primeiro semestre de 2024. Este relatório mostra as principais tendências de ameaças registadas no panorama da cibersegurança que decorre da exaustiva investigação da empresa.

Deteções em Android
Durante a primeira metade de 2024, a ESET registou uma queda a nível global na deteção de ameaças para Android. Esta queda representa uma diminuição de 41% face ao último semestre de 2023. As ameaças de aplicações nocivas que operam de forma oculta (HiddenApps) tiveram um grande pico em fevereiro deste ano, mas rapidamente voltaram a níveis de observação mais baixos.

Por seu lado, o Adware (tipo de malware que exibe anúncios publicitários e recolhe dados pessoais), continua em níveis de deteção elevados neste primeiro semestre de 2024, tendo sido a ameaça com maior prevalência.

Figura 1: Tendências de deteção de ameaças selecionadas para Android registadas globalmente no segundo semestre de 2023 e no primeiro semestre de 2024

Portugal acompanhou a queda global na deteção de ameaças para Android e o Adware foi igualmente o tipo de ameaça que mais prevalência teve no nosso país. Os meses de janeiro e maio foram os meses com maior incidência neste primeiro semestre do ano.

Figura 2: Tendências de deteção de ameaças selecionadas para Android registadas em Portugal no segundo semestre de 2023 e no primeiro semestre de 2024

Ricardo Neves, responsável pela operação de marketing na ESET Portugal, destaca que, “pesar da redução significativa nas deteções de malware, empresas e utilizadores devem manter uma vigilância apertada e constante”. Ressalva que “diversas variáveis, tanto globais quanto locais, podem influenciar as oscilações das deteções, exigindo uma atenção contínua para enfrentar possíveis ameaças.”

Deteções de ransomware
No que diz respeito ao ransomware, os números devem deixar as empresas e utilizadores preocupados, dado que houve um aumento global de 32% nas deteções no primeiro semestre de 2024 quando comparado com os últimos 6 meses do ano transato. No gráfico abaixo, podemos observar que o mês de maio de 2024 registou o recorde de deteções a nível global, pautando-se por um mês de grande atividade cibercriminosa. O ransomware do grupo criminoso BlackMatter foi o que mais prevalência registou no primeiro semestre de 2024, seguindo-se o Filecoder.Conti, uma das variantes mais notórias e perigosas no cenário de ransomware devido ao seu impacto e métodos de operação sofisticados.

Figura 3: Tendência de deteção de ransomware registada globalmente no segundo semestre de 2023 e no primeiro semestre de 2024

Em Portugal, o panorama ao nível das deteções de ransomware também deve deixar o mercado atento. O primeiro semestre de 2024 pautou-se por um aumento significativo face ao semestre anterior, com especiais incidências nos meses de março e abril. O ransomware IncRansom foi o mais ativo, precedido pelo MedusalLocker com cerca de 9,8% do total das deteções.

Figura 4: Tendência de deteção de ransomware registada em Portugal no segundo semestre de 2023 e no primeiro semestre de 2024

No cenário de ransomware, o antigo grupo líder cibercriminoso LockBit foi derrubado do seu pedestal pela Operação Chronos, uma interrupção global realizada pelas autoridades em fevereiro de 2024.

Embora a telemetria da ESET tenha registado duas campanhas do LockBit no primeiro semestre de 2024, estas foram resultado de grupos criminosos não relacionados com o LockBit usando o seu gerador.

De acordo com a mesma fonte da ESET Portugal, “a operação Cronos já evidencia o apagão do famoso grupo LockBit que ainda tenta dar cartas, através da publicação de vítimas antigas nos seus websites de leaks”. Reforça ainda que “o enfraquecimento de alguns grupos organizados não é sinónimo de menos deteções no futuro, relembrando que existem muitos outros grupos a preparar novas investidas”.

Estes desenvolvimentos mostram um cenário de cibersegurança em constante evolução, com os cibercriminosos a utilizarem uma vasta gama de táticas. Leia o Relatório de Ameaças H1 2024 global aqui.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Threat-Report-H1-2024

A ESET, empresa europeia líder em soluções de cibersegurança, anunciou hoje a introdução da versão na cloud do ESET Secure Authentication, o módulo de autenticação multifator da plataforma ESET PROTECT.

No atual panorama da cibersegurança, todos os dias ocorre um número crescente de violações de dados. Uma das formas mais comuns de os cibercriminosos conseguirem aceder aos dados de uma empresa é através de palavras-passe fracas ou roubadas, recolhidas com bots automatizados, phishing ou ataques direcionados.

Para se protegerem contra estas ameaças, além de protegerem os logins dos utilizadores em serviços críticos, as empresas podem implementar a autenticação multifator para impedir o acesso administrativo não autorizado. Ao adicionar uma solução multifator como o ESET Secure Authentication, as empresas tornam muito mais difícil para os cibercriminosos obterem acesso e comprometerem os seus sistemas.

A razão pela qual é importante utilizar o segundo fator no processo de autenticação é que muitas vezes os clientes finais utilizam as mesmas palavras-passe em todas as suas contas. E agora, complementando a versão local do ESET Secure Authentication, a ESET introduziu uma nova versão baseada na cloud desta solução que torna a autenticação multifator muito mais fácil de implementar para todos os tipos de empresas, sem necessidade de qualquer hardware local.

“Sabemos bem como uma má escolha e utilização de palavras-passe pode levar a violações de dados devastadoras. Portanto, com a versão na cloud do ESET Secure Authentication, pretendemos fornecer uma solução que seja flexível, escalável, fácil de implementar e, acima de tudo, eficaz e acessível para empresas de todas as dimensões, melhorando a proteção de dados empresariais e reduzindo o custo total de propriedade, num esforço para oferecer ainda mais valor aos nossos clientes”, disse Michal Jankech, vice-presidente do segmento PME e MSP da ESET.

Assim, o ESET Secure Authentication fornece uma maneira fácil para empresas de todas as dimensões implementarem autenticação multifator em sistemas amplamente utilizados, incluindo VPNs, Remote Desktop Protocol, Outlook Web Access e login do sistema operativo para evitar violações de dados e atender aos requisitos de conformidade. Suporta tecnologias como apps móveis com notificações push, tokens de hardware, chaves FIDO e outros métodos personalizados.

A versão na cloud do ESET Secure Authentication estará disponível através do nível de subscrição ESET PROTECT Elite, mas também como uma solução independente sem qualquer alteração no preço. No entanto, o pré-requisito para a disponibilidade da versão na cloud é ter uma conta no novo portal ESET PROTECT Hub, a porta de entrada para a plataforma de segurança unificada da ESET.

Mais informações: https://www.eset.com/pt/business/solutions/multi-factor-authentication/
Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Secure-Authentication-Cloud