Press Release: Cibercriminosos intensificam os ataques com recurso a FakeUpdates e RansomHub, com o sector da Educação a manter-se como principal alvo.
A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, divulgou o seu Índice Global de Ameaças relativo a março de 2025, destacando a contínua prevalência do FakeUpdates, um malware do tipo downloader que continua a ser um dos ataques mais comuns a nível mundial.
Este mês, os investigadores descobriram uma nova campanha de intrusão que distribui FakeUpdates e conduz a ataques de ransomware RansomHub. Em março, foi identificado um padrão em que a cadeia de ataque começa com sites comprometidos, instâncias maliciosas de Keitaro TDS e falsos alertas de atualização de browser, com o objetivo de induzir os utilizadores a descarregarem o malware. O JavaScript ofuscado utilizado permite exfiltração de dados e execução remota de comandos. A investigação revelou também o uso crescente de plataformas legítimas como Dropbox e TryCloudflare para evitar deteção e garantir persistência.
Entretanto, foi identificada uma gigantesca campanha de phishing associada ao Lumma Stealer, que já comprometeu mais de 1.150 organizações e 7.000 utilizadores na América do Norte, sul da Europa e Ásia. Os atacantes distribuíram cerca de 5.000 ficheiros PDF maliciosos alojados no CDN da Webflow, usando imagens de CAPTCHA falsas para ativar scripts PowerShell e instalar malware. Esta tendência crescente de abusar de plataformas legítimas para disseminar malware demonstra uma clara evolução nas táticas dos cibercriminosos. Os investigadores associaram ainda o Lumma Stealer a falsos jogos do Roblox e a uma versão pirateada e trojanizada do Windows Total Commander, promovida através de contas do YouTube
comprometidas.
Em Portugal, a liderança do passado mês de março pertenceu ao AgentTesla, que representou um total de 18.04% das ameaças registadas a nível nacional, sendo seguido pelo FakeUpdates com 9.24% e o Formbook, com 5.64% de todas as ameaças registadas. O setor mais afetado foi o da Educação/Investigação.
Maya Horowitz, vice-presidente da Check Point Research, afirma: "Os cibercriminosos estão a recorrer cada vez mais a plataformas legítimas para distribuir malware e evitar a sua deteção. As organizações devem manter-se vigilantes e implementar medidas de segurança proativas para mitigar os riscos associados a estas ameaças em constante evolução."
Principais famílias de malware a nível mundial
*As setas indicam uma mudança na classificação em relação ao mês anterior
- ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
- ↑ Remcos – Remcos, um Trojan de Acesso Remoto (RAT), continua a ser uma das principais variantes de malware, frequentemente utilizado em campanhas de phishing. A sua capacidade para contornar mecanismos de segurança, como o Controlo de Conta de Utilizador (UAC), torna-o uma ferramenta versátil para os criminosos informáticos.
- ↑ AgentTesla - O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
Principais Famílias Malware em Portugal
*As setas indicam uma mudança na classificação em relação ao mês anterior
- ↑ AgentTesla - O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
- ↑ FakeUpdates - O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
- ↓ Formbook - O Formbook, identificado pela primeira vez em 2016, é um malware do tipo infostealer que tem como principal alvo sistemas operativos Windows. Este malware recolhe credenciais de diversos navegadores web, captura imagens do ecrã, monitoriza e regista teclas pressionadas, além de poder descarregar e executar payloads adicionais. A sua propagação ocorre através de campanhas de phishing, anexos maliciosos em e-mails e websites comprometidos, frequentemente disfarçados como ficheiros legítimos.
Principais malwares móveis a nível mundial
- ↔ Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android, com capacidades como contornar a autenticação multi-fator (MFA), keylogging, gravação de áudio e funções de ransomware.
- ↔ Necro – O Necro é um downloader malicioso para Android que recupera e executa componentes nocivos com base nos comandos dos seus criadores.
- ↔ AhMyth – O AhMyth é um trojan de acesso remoto (RAT) que visa dispositivos Android, disfarçado de aplicações legítimas. Obtém permissões extensivas para exfiltrar informações sensíveis como credenciais bancárias e códigos MFA.
Setores mais atacados a nível mundial
- Educação/Investigação
- Telecomunicações
- Administração Pública/Defesa
Principais indústrias atacadas em Portugal
- Educação/Investigação
- Telecomunicações
- Administração Pública/Defesa
Principais Grupos de Ransomware
Este mês não assistimos à mesma predominância de ataques por parte de um grupo só, como no passado mês de fevereiro, onde o grupo Clop foi responsável por 35% dos ataques publicados
- RansomHub – O RansomHub é o grupo mais predominante nos ataques realizados este mês, com um total de 12% dos ataques publicados. Opera segundo um modelo de Ransomware-as-a-Service (RaaS), que surgiu como uma versão rebranded do ransomware Knight. Ganhou notoriedade por visar ambientes Windows, macOS, Linux e VMware ESXi, usando métodos de encriptação sofisticados.
- Qilin – Referido muitas vezes como Agenda, este grupo atua usando um modelo de RaaS. Recorre a grupos e indivíduos afiliados para encriptar e exfiltrar dados de organizações, sendo o seu foco as grandes empresas, sobretudo nos sectores da saúde e da educação, infiltrando-se geralmente através de e-mails de phishing com links maliciosos.
- Akira – Criado somente em 2023, este grupo concentra os seus ataques em sistemas Windows e Linux, utilizando um sistema de encriptação com CryptGenRandom() e Chacha 2008. Propaga-se através de anexos de e-mails ou vulnerabilidades em endpoints VPN, deixando os ficheiros encriptados com a extensão “.akira”.
Para aceder ao Índice Global de Ameaças de janeiro de 2025 completo e informações adicionais, visite o
Blogue da Check Point.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o ladopara melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.