Segundo o mais recente Índice Global de Ameaças da Check Point Software Technologies, FakeUpdates (também conhecido por SocGholish) voltou a dominar o panorama global de ciberameaças no mês de Março de 2025. Este malware do tipo downloader, escrito em JavaScript, continua a ser um dos vectores de ataque mais usados pelos cibercriminosos, tendo agora sido associado a novas campanhas com ransomware RansomHub.
A nova táctica: sites comprometidos e falsos alertas de browser
Os investigadores da Check Point detectaram uma campanha global em que os ataques começam com sites comprometidos, redireccionando para páginas falsas com alertas de actualização de browser. Ao clicar, o utilizador descarrega um JavaScript ofuscado que permite a execução remota de comandos e a exfiltração de dados.
Para evitar a deteção, os criminosos estão a usar plataformas legítimas como Dropbox e TryCloudflare, o que lhes permite manter presença nas máquinas infectadas por mais tempo.
Phishing e PDF malicioso via Webflow
Em paralelo, foi identificada uma mega campanha de phishing com o Lumma Stealer, um infostealer que comprometeu mais de 7.000 utilizadores e 1.150 organizações na América do Norte, sul da Europa e Ásia. O método? PDFs maliciosos alojados no CDN da Webflow, acompanhados por imagens falsas de CAPTCHA que activam scripts PowerShell para instalar o malware.
O Lumma Stealer também foi detectado em falsos jogos do Roblox e numa versão pirateada do Windows Total Commander, promovida através de contas do YouTube comprometidas.
Em Portugal: AgentTesla lidera, mas FakeUpdates também marca presença
Cá dentro, o malware mais prevalente em Março foi o AgentTesla, responsável por 18,04% dos ataques registados. Este Remote Access Trojan (RAT) actua como keylogger e ladrão de credenciais, com particular foco em navegadores e clientes de e-mail.
O segundo lugar foi para o FakeUpdates (9,24%) e o terceiro para o Formbook (5,64%).
Setores mais afectados:
- Educação/Investigação
- Telecomunicações
- Administração Pública/Defesa
Ransomware em destaque: RansomHub em alta
Entre os grupos de ransomware mais activos, o RansomHub (uma rebranding do Knight) lidera com 12% dos ataques globais. Esta operação de Ransomware-as-a-Service ataca sistemas Windows, macOS, Linux e VMware ESXi com técnicas avançadas de encriptação.
Outros grupos em destaque:
- Qilin (também conhecido como Agenda): actua com foco em grandes empresas, sobretudo nos sectores da saúde e educação, através de campanhas de phishing.
- Akira: activo desde 2023, propaga-se por falhas em VPNs e utiliza algoritmos como CryptGenRandom() para cifrar ficheiros, que passam a ter a extensão “.akira”.
🔗 Consulta o Índice Global de Ameaças de Março no blogue da Check Point
