O feed aberto de notícias de abuso cibernético em Portugal 0xSI_f33d é uma base de dados de partilha aberta com a capacidade de recolher indicadores de múltiplas fontes, desenvolvida e mantida pela Segurança-Informática. Este feed é baseado em pesquisas automáticas e é suportado por uma rede saudável de contribuidores. Isto faz com que seja uma fonte continuamente atualizada, segura e focada em ameaças que têm como objetivo os cidadãos Portugueses.
0xSI_f33d é parte do oficial VirtusTotal ingestors desde Julho de 2021 permitindo à comunidade verificar ameaças a nível global neste feed.
O Threat Report Portugal: Q2 2022 compila toda a informação recolhida sobre campanhas maliciosas que ocorreram de Março a Junho, 2º Quadrante, 2022. As submissões foram classificadas ora como phishing ou malware. Em adição, o relatório destaca ameaças, tendências, pontos chave a reter e ameaças observadas e reportadas. O relatório faculta ainda informação valiosa e indicadores de compromisso (IOCs) que as organizações podem utilizar para lutar contra ataques atuais, antecipando ameaças emergentes e gerindo a segurança de uma melhor forma.
Phishing e Malware Q2 2022
Os resultados representados na Figura 1 do Threat Report Portugal mostram que as campanhas de phishing (68,9%) foram mais prevalentes que as de malware (31,1%) durante Q2 2022. Foi observada uma tendência em crescimento no Q2 (2630), com malware a ter 31.1% do total em comparação com 6.9% de Q1 2022.
De acordo com Q1 2022, as campanhas de phishing aumentaram em comparação com 2021 como resultado de uma pesquisa focada nos scams das lojas online que tem vindo a atingir utilizadores por todo o mundo. Em detalhe, milhares de domínios de lojas falsos foram compilados a partir desta pesquisa em Março 2022 – um processo que ainda está em desenvolvimento contínuo pelos agentes de inteligência artificial do feed. De notar que, os utilizadores podem validar se a sua informação está nas mãos erradas utilizando este validador st0r3_sc4m_l34a_ch3ck3r.
Também durante Q1 de 2022 os criminosos têm vindo a atualizar os seus templates de phishing tendo por objetivo as instituições bancárias Portuguesas. Este tipo de campanhas são as mais críticas e perigosas para os utilizadores da internet, com um grande número de pessoas impactadas todas as semanas.
Em termos de malware, o popular trojan bancário QakBot tem vindo a tornar-se uma ameaça cada vez maior, segundo o Threat Report Q2 2022 em Portugal. Este pedaço de malware é focado em roubar credenciais de acesso bancário e os segredos das suas vítimas utilizando diferentes técnicas e procedimentos (TTP) que têm vindo a evoluir ao longo dos ano incluíndo os mecanismos de entrega, técnicas C2 e características anti-analíse. Em detalhe 1467 endpoints relacionados com operações Qakbot são submetidas foram submetidas no feed em Abril 2022 o que aumentou os números de malware durante este quarto de ano.
Por fim, é possível verificar que existiram elevados números de campanhas de phishing ligadas a campanhas de engenharia social, relacionadas com entrega de encomendas incluindo CTT, DHL, UPS FedEx, etc. De notar que estas campanhas foram todas seguidas e rastreadas pela Segurança-Informática e que todos os domínios maliciosos foram submetidos ao feed diariamente.
Malware em números
De forma geral, o trojan Qakbot, o botnet Satori/Mirai e os documentos MS Office (macros) foram algumas das formas mais prevalentes de ameaça para os cidadãos Portugueses durante Q2 2022. Foram também observados outros trojan bancários cujas variantes e famílias também tiveram como alvo os diferentes bancos Portugueses. Esses foram Maxtrilha, Javali, URSA e Lampion. O Lampion, na sua versão 212 em particular tem vindo a ser utilizado em servidores C2 ocultos há pelo menos dois anos.
Estes tipos de malware vêm do Brasil e os ataques são disseminados através de campanhas de phishing. Os criminosos também utilizam smishing para aumentar o alcance das suas campanhas e atacar grandes grupos de vitimas.
Ameaças por Setores
De acordo com os setores afetados, o bancário foi seguramente o mais afetado tanto pelas campanhas de phishing como malware que afetaram os cidadãos Portugueses durante Q2 2022. Seguido de perto pelo retalho e saúde como dois próximos setores mais afetados.
As campanhas de ameaças durante Q3 2022 serão publicadas diariamente no feed assim como outros incidentes e investigações são documentadas e publicadas no Segurança-Informática.
O infográfico com o relatório pode ser descarregado em PDF abaixo.
Artigo traduzido do original escrito por Pedro Tavares em Segurança-Informática.
