O Malware Mais Procurado em Abril de 2025

Press Release: FakeUpdates mantém-se dominante, mas crescem os ataques sofisticados com malware comum.

Investigadores da Check Point identificam campanhas de malware em múltiplas fases que utilizam processos legítimos para evitar deteção; setor da educação permanece como o mais atacado a nível global.

A Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, divulgou o seu Índice Global de Ameaças relativo a abril de 2025, destacando a continuidade do malware FakeUpdates como o mais prevalente a nível mundial, afetando 6% das organizações, seguido de perto por Remcos e AgentTesla.

Durante o mês de abril, os investigadores da Check Point identificaram uma campanha de malware particularmente sofisticada, em múltiplas fases, que distribui variantes como AgentTesla, Remcos e Xloader (evolução do conhecido FormBook). O ataque tem início com um e-mail de phishing disfarçado de confirmação de encomenda, que leva a vítima a abrir um ficheiro comprimido em 7-Zip. No interior encontra-se um ficheiro .JSE (JScript Encoded) que executa um script PowerShell codificado em Base64. Este, por sua vez, ativa um executável de segunda fase, desenvolvido em .NET ou AutoIt, que injeta o malware final em processos legítimos do Windows, como RegAsm.exe ou RegSvcs.exe — uma técnica que maximiza o disfarce e dificulta a deteção.

Estes ataques refletem uma tendência crescente no cibercrime: a convergência entre malware comum e técnicas avançadas, frequentemente associadas a grupos com ligações a Estados. Ferramentas acessíveis e amplamente comercializadas, como AgentTesla ou Remcos, estão agora a ser utilizadas em cadeias de infeção altamente sofisticadas, indistinguíveis das que costumam ser associadas a espionagem ou sabotagem política.

Em Portugal, a liderança do passado mês de abril voltou a pertencer ao AgentTesla, que representou um total de 15,30% das ameaças registadas a nível nacional, sendo seguido pelo FakeUpdates com 7,08% e o Remcos com 5,94% de todas as ameaças registadas. O setor mais afetado continua a ser o da Educação/Investigação.

Para Lotem Finkelstein, Diretor de Threat Intelligence da Check Point Software: "Esta nova campanha é um exemplo claro da crescente complexidade das ameaças cibernéticas. Os atacantes estão a combinar scripts codificados, processos legítimos e cadeias de execução obscuras para permanecerem invisíveis. O que antes era considerado malware de baixo nível está agora a ser transformado em arma em operações avançadas. As organizações precisam urgentemente de adotar uma abordagem preventiva, que integre inteligência de ameaças em tempo real, IA e análise comportamental.”

Principais famílias de malware a nível mundial

As setas indicam uma mudança na classificação em relação ao mês anterior.

• ↔ FakeUpdates – Também conhecido como SocGholish, o FakeUpdates é um downloader de malware que foi identificado pela primeira vez em 2018. Propaga-se por downloads em sites comprometidos ou maliciosos, incitando os utilizadores a instalar falsas atualizações. Está associado ao grupo de hackers russo Evil Corp e serve de porta de entrada para cargas maliciosas secundárias. (Impacto: 6%)
• ↔ Remcos – O Remcos é um trojan de acesso remoto (RAT) identificado em 2016, frequentemente distribuído por documentos maliciosos em campanhas de phishing. Foi concebido para contornar mecanismos de segurança do Windows e executar código com privilégios elevados. (Impacto: 3%)
• ↔ AgentTesla – O AgentTesla é um RAT avançado ativo desde 2014, com funções de keylogger e roubo de credenciais. Pode recolher dados do teclado, capturas de ecrã, informações da área de transferência e credenciais de navegadores e clientes de e-mail como o Outlook. É vendido como software legítimo, com licenças entre 15 e 69 dólares. (Impacto: 3%)

Principais famílias de malware em Portugal

As setas indicam uma mudança na classificação em relação ao mês anterior.

• ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
• ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O FakeUpdates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
• ↑ Remcos – O Remcos é um trojan de acesso remoto (RAT) identificado em 2016, frequentemente distribuído por documentos maliciosos em campanhas de phishing. Esses documentos são normalmente anexados a e-mails de SPAM, e foram concebidos para contornar os mecanismos de segurança UAC (User Account Control) dos sistemas operativos Windows, executando assim código com privilégios elevados.

Principais malwares móveis a nível mundial

• ↔ Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android. Este tem evoluído para incluir capacidades como keylogging, gravação de áudio, funções de ransomware e formas de contornar sistemas de autenticação multi-fator (MFA). Distribui-se via aplicações maliciosas na Play Store.
• ↑ AhMyth – O AhMyth é um RAT desenvolvido para Android que está disfarçado de aplicações legítimas, como gravadores de ecrã ou apps de criptomoedas. É capaz de exfiltrar dados bancários, carteiras digitais, códigos MFA, capturas de ecrã e acesso à câmara e microfone.
• ↑ Hydra – O Hydra é um trojan bancário concebido para roubar credenciais, pedindo permissões perigosas cada vez que a vítima acede a uma aplicação bancária.

Setores mais atacados a nível mundial

1. Educação/Investigação
2. Administração Pública/Defesa
3. Telecomunicações

Principais indústrias atacadas em Portugal

1. Educação/Investigação
2. Telecomunicações
3. Administração Pública/Defesa

Principais grupos de ransomware

Com base em dados obtidos em “shame sites” operados por grupos de ransomware com práticas de dupla extorsão, o grupo Akira foi o mais ativo em abril, responsável por 11% dos ataques publicados, seguido por SatanLock e Qilin, ambos com 10%.

• Akira – Ativo desde o início de 2023, ataca sistemas Windows e Linux. Utiliza criptografia simétrica e técnicas como CryptGenRandom() e Chacha 2008. Propaga-se através de anexos maliciosos e falhas em VPNs. Após a infeção, encripta os dados e acrescenta a extensão ".akira", exigindo um resgate para desencriptação.
• SatanLock – O SatanLock é um novo grupo operacional bastante recente, com atividade pública desde o início de abril. Já publicou 67 vítimas, embora mais de 65% tenham sido previamente divulgadas por outros grupos, o que pode indicar reaproveitamento de dados.
• Qilin – Referido muitas vezes como Agenda, este grupo atua usando um modelo de RaaS, e está em atividade desde julho de 2022. Desenvolvido em Golang, este grupo foca-se em grandes empresas e organizações de valor elevado, com particular incidência nos setores da saúde e educação, infiltrando-se geralmente através de e-mails de phishing com links maliciosos.

Para aceder ao Índice Global de Ameaças de abril de 2025 completo e informações adicionais, visite o Blogue da Check Point.

Siga a Check Point Software: 

• X: http://www.twitter.com/checkpointsw
• Blog: http://blog.checkpoint.com
• YouTube: http://www.youtube.com/user/CPGlobal

Sobre a Check Point Software Technologies Ltd. 

A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.

Mais informações aqui.