A Check Point Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, divulgou o seu Índice Global de Ameaças relativo a abril de 2025, destacando a continuidade do malware FakeUpdates como o mais prevalente a nível mundial, afetando 6% das organizações, seguido de perto por Remcos e AgentTesla.

Durante o mês de abril, os investigadores da Check Point identificaram uma campanha de malware particularmente sofisticada, em múltiplas fases, que distribui variantes como AgentTesla, Remcos e Xloader (evolução do conhecido FormBook). O ataque tem início com um e-mail de phishing disfarçado de confirmação de encomenda, que leva a vítima a abrir um ficheiro comprimido em 7-Zip. No interior encontra-se um ficheiro .JSE (JScript Encoded) que executa um script PowerShell codificado em Base64. Este, por sua vez, ativa um executável de segunda fase, desenvolvido em .NET ou AutoIt, que injeta o malware final em processos legítimos do Windows, como RegAsm.exe ou RegSvcs.exe — uma técnica que maximiza o disfarce e dificulta a deteção.

Estes ataques refletem uma tendência crescente no cibercrime: a convergência entre malware comum e técnicas avançadas, frequentemente associadas a grupos com ligações a Estados. Ferramentas acessíveis e amplamente comercializadas, como AgentTesla ou Remcos, estão agora a ser utilizadas em cadeias de infeção altamente sofisticadas, indistinguíveis das que costumam ser associadas a espionagem ou sabotagem política.

Em Portugal, a liderança do passado mês de abril voltou a pertencer ao AgentTesla, que representou um total de 15,30% das ameaças registadas a nível nacional, sendo seguido pelo FakeUpdates com 7.08% e o Remcos com 5.94% de todas as ameaças registadas. O setor mais afetado continua a ser o da Educação/Investigação.

Para Lotem Finkelstein, Diretor de Threat Intelligence da Check Point Software: “Esta nova campanha é um exemplo claro da crescente complexidade das ameaças cibernéticas. Os atacantes estão a combinar scripts codificados, processos legítimos e cadeias de execução obscuras para permanecerem invisíveis. O que antes era considerado malware de baixo nível está agora a ser transformado em arma em operações avançadas. As organizações precisam urgentemente de adotar uma abordagem preventiva, que integre inteligência de ameaças em tempo real, IA e análise comportamental”

Principais famílias de malware a nível mundial

*As setas indicam uma mudança na classificação em relação ao mês anterior

1. ↔ FakeUpdates – Também conhecido como SocGholish, o FakeUpdates é um downloader de malware que foi identificado pela primeira vez em 2018. Propaga-se por downloads em sites comprometidos ou maliciosos, incitando os utilizadores a instalar falsas. Está associado ao grupo de hackers russo Evil Corp e serve de porta de entrada para cargas maliciosas secundárias. (Impacto: 6%)
2. ↔ Remcos – O Remcos é um trojan de acesso remoto (RAT) identificado em 2016, frequentemente distribuído por documentos maliciosos em campanhas de phishing. Foi concebido para contornar mecanismos de segurança do Windows e executar código com privilégios elevados. (Impacto: 3%)

3. ↔ AgentTesla – O AgentTesla é um RAT avançado ativo desde 2014, com funções de keylogger e roubo de credenciais. Pode recolher dados do teclado, capturas de ecrã, informações da área de transferência e credenciais de navegadores e clientes de e-mail como o Outlook. É vendido como software legítimo, com licenças entre 15 e 69 dólares. (Impacto: 3%)

Principais Famílias Malware em Portugal

*As setas indicam uma mudança na classificação em relação ao mês anterior

1. ↔ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
2. ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
3. ↑ Remcos – O Remcos é um trojan de acesso remoto (RAT) identificado em 2016, frequentemente distribuído por documentos maliciosos em campanhas de phishing. Esses documentos são normalmente anexados a emaiçs de SPAM, e foram concebidos para contornar os mecanismos de segurança UAC (User Account Control) dos sistemas operativos Windows, executando assim código com privilégios elevados.

Principais malwares móveis a nível mundial

1. ↔ Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android. Este tem evoluído para incluir capacidades como keylogging, gravação de áudio, funções de ransomware e formas de contornar sistemas de autenticação multi-fator (MFA), keylogging. Distribui-se via aplicações maliciosas na Play Store.
2. ↑ AhMyth – O AhMyth é um RAT desenvolvido para Android que está disfarçado de aplicações legítimas, como gravadores de ecrã ou apps de criptomoedas. É capaz de exfiltrar dados bancários, carteiras digitais, códigos MFA, capturas de ecrã e acesso à câmara e microfone.
3. ↑ Hydra – O Hydra é um Trojan bancário concebido para roubar credenciais, pedindo permissões perigosas cada vez que a vítima acede a uma aplicação bancária.

Setores mais atacados a nível mundial

1. Educação/Investigação
2. Administração Pública/Defesa
3. Telecomunicações

Principais indústrias atacadas em Portugal

1. Educação/Investigação
2. Telecomunicações
3. Administração Pública/Defesa

Principais Grupos de Ransomware

Com base em dados obtidos em “shames sites” operados por grupos de ransomware com práticas de dupla extorsão, o grupo Akira foi o mais ativo em abril, responsável por 11% dos ataques publicados, seguido por SatanLock e Qilin, ambos com 10%.

1. Akira – Ativo desde o início de 2023, ataca sistemas Windows e Linux. Utiliza criptografia simétrica e técnicas como CryptGenRandom() e Chacha 2008. Propaga-se através de anexos maliciosos e falhas em VPNs. Após a infeção, encripta os dados e acrescenta a extensão “.akira”, exigindo um resgate para desencriptação.
2. SatanLock – O SatanLock é um novo grupo operacional bastante recente, com atividade pública desde o início de abril. Já publicou 67 vítimas, embora mais de 65% tenham sido previamente divulgadas por outros grupos, o que pode indicar reaproveitamento de dados.
3. Qilin – Referido muitas vezes como Agenda, este grupo atua usando um modelo de RaaS, e está em atividade desde julho de 2022. Desenvolvido em Golang, este grupo foca-se em grandes empresas e organizações de valor elevado, com particular incidência nos setores da saúde e educação, infiltrando-se geralmente através de e-mails de phishing com links maliciosos.