A Check Point Software Technologies Ltd., pioneira e líder mundial em soluções de cibersegurança, divulgou o seu Índice Global de Ameaças relativo a março de 2025, destacando a contínua prevalência do FakeUpdates, um malware do tipo downloader que continua a ser um dos ataques mais comuns a nível mundial.

Este mês, os investigadores descobriram uma nova campanha de intrusão que distribui FakeUpdates e conduz a ataques de ransomware RansomHub. Em março, foi identificado um padrão em que a cadeia de ataque começa com sites comprometidos, instâncias maliciosas de Keitaro TDS e falsos alertas de atualização de browser, com o objetivo de induzir os utilizadores a descarregarem o malware. O JavaScript ofuscado utilizado permite exfiltração de dados e execução remota de comandos. A investigação revelou também o uso crescente de plataformas legítimas como Dropbox e TryCloudflare para evitar deteção e garantir persistência.

Entretanto, foi identificada uma gigantesca campanha de phishing associada ao Lumma Stealer, que já comprometeu mais de 1.150 organizações e 7.000 utilizadores na América do Norte, sul da Europa e Ásia. Os atacantes distribuíram cerca de 5.000 ficheiros PDF maliciosos alojados no CDN da Webflow, usando imagens de CAPTCHA falsas para ativar scripts PowerShell e instalar malware. Esta tendência crescente de abusar de plataformas legítimas para disseminar malware demonstra uma clara evolução nas táticas dos cibercriminosos. Os investigadores associaram ainda o Lumma Stealer a falsos jogos do Roblox e a uma versão pirateada e trojanizada do Windows Total Commander, promovida através de contas do YouTube comprometidas.

Em Portugal, a liderança do passado mês de março pertenceu ao AgentTesla, que representou um total de 18.04% das ameaças registadas a nível nacional, sendo seguido pelo FakeUpdates com 9.24% e o Formbook, com 5.64% de todas as ameaças registadas. O setor mais afetado foi o da Educação/Investigação.

Maya Horowitz, vice-presidente da Check Point Research, afirma: “Os cibercriminosos estão a recorrer cada vez mais a plataformas legítimas para distribuir malware e evitar a sua deteção. As organizações devem manter-se vigilantes e implementar medidas de segurança proativas para mitigar os riscos associados a estas ameaças em constante evolução.”

Principais famílias de malware a nível mundial

*As setas indicam uma mudança na classificação em relação ao mês anterior

1. ↔ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
2. ↑ Remcos – Remcos, um Trojan de Acesso Remoto (RAT), continua a ser uma das principais variantes de malware, frequentemente utilizado em campanhas de phishing. A sua capacidade para contornar mecanismos de segurança, como o Controlo de Conta de Utilizador (UAC), torna-o uma ferramenta versátil para os criminosos informáticos.

3. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).

Principais Famílias Malware em Portugal

*As setas indicam uma mudança na classificação em relação ao mês anterior

1. ↑ AgentTesla – O AgentTesla é um RAT avançado que funciona como um keylogger e um ladrão de informações, capaz de monitorizar e recolher a entrada do teclado da vítima, o teclado do sistema, fazer capturas de ecrã e exfiltrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, o Mozilla Firefox e o cliente de email Microsoft Outlook).
2. ↑ FakeUpdates – O FakeUpdates (também conhecido como SocGholish) é um downloader codificado em JavaScript. Encripta toda a carga útil no disco antes de a lançar. O Fake Updates levou a um maior compromisso através de vários malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer, and AZORult.
3. ↓ Formbook – O Formbook, identificado pela primeira vez em 2016, é um malware do tipo infostealer que tem como principal alvo sistemas operativos Windows. Este malware recolhe credenciais de diversos navegadores web, captura imagens do ecrã, monitoriza e regista teclas pressionadas, além de poder descarregar e executar payloads adicionais. A sua propagação ocorre através de campanhas de phishing, anexos maliciosos em e-mails e websites comprometidos, frequentemente disfarçados como ficheiros legítimos.

Principais malwares móveis a nível mundial

1. ↔ Anubis – O Anubis é um trojan bancário versátil originário de dispositivos Android, com capacidades como contornar a autenticação multi-fator (MFA), keylogging, gravação de áudio e funções de ransomware.
2. ↔ Necro – O Necro é um downloader malicioso para Android que recupera e executa componentes nocivos com base nos comandos dos seus criadores.
3. ↔ AhMyth – O AhMyth é um trojan de acesso remoto (RAT) que visa dispositivos Android, disfarçado de aplicações legítimas. Obtém permissões extensivas para exfiltrar informações sensíveis como credenciais bancárias e códigos MFA.

Setores mais atacados a nível mundial

1. Educação/Investigação
2. Telecomunicações
3. Administração Pública/Defesa

Principais indústrias atacadas em Portugal

1. Educação/Investigação
2. Telecomunicações
3. Administração Pública/Defesa

Principais Grupos de Ransomware

Este mês não assistimos à mesma predominância de ataques por parte de um grupo só, como no passado mês de fevereiro, onde o grupo Clop foi responsável por 35% dos ataques publicados

1. RansomHub – O RansomHub é o grupo mais predominante nos ataques realizados este mês, com um total de 12% dos ataques publicados. Opera segundo um modelo de Ransomware-as-a-Service (RaaS), que surgiu como uma versão rebranded do ransomware Knight. Ganhou notoriedade por visar ambientes Windows, macOS, Linux e VMware ESXi, usando métodos de encriptação sofisticados.
2. Qilin – Referido muitas vezes como Agenda, este grupo atua usando um modelo de RaaS. Recorre a grupos e indivíduos afiliados para encriptar e exfiltrar dados de organizações, sendo o seu foco as grandes empresas, sobretudo nos sectores da saúde e da educação, infiltrando-se geralmente através de e-mails de phishing com links maliciosos.
3. Akira – Criado somente em 2023, este grupo concentra os seus ataques em sistemas Windows e Linux, utilizando um sistema de encriptação com CryptGenRandom() e Chacha 2008. Propaga-se através de anexos de e-mails ou vulnerabilidades em endpoints VPN, deixando os ficheiros encriptados com a extensão “.akira”.