Cibercriminosos brasileiros realizam ataques com foco em bancos de outros países

Por Redação Computerworld em 15/07/2020

Foto: Shutterstock

O Brasil é um dos países nos quais os cibercrimonosos são conhecidos por serem criativos e eficientes quando se fala em ameaças financeiras, desenvolvendo malwares que utilizam de engenharia social para roubar credenciais financeiros de pessoas. E essas ameaças, que sempre foram mais locais, agora estão sendo levadas para outros países. 

De acordo com pesquisadores da Kaspersky, quatro famílias de trojans bancários - nomeados de Guildma, Javali, Melcoz e Grandoreiro - atuam na Europa e América Latina, mas também mostram interesse em fazer vítimas na América do Norte e China. Esta tendência foi nomeada como Tetrade e o conjunto de trojans traz as últimas inovações em malware bancários em técnicas de evasão e ocultamento. 

Essa internacionalização já existiu no início de 2011, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada, ações essas que não foram continuadas. Porém, a Kaspersky assinala que o Tetrade se caracteriza por inovações que permitiram a expansão mundo afora e consolidaram o País como exportador de malware 

"Os criminosos brasileiros, como os que estão por trás dessas quatro famílias de malware bancário, estão recrutando ativamente afiliados em outros países para exportar suas ameaças para o mundo inteiro”, comenta Dmitry Bestuzhev, chefe da Equipe GReAT na América Latina.

Ações internacionais 

Das quatro ameaças citadas, a Kaspersky destaca a Guildma, que está ativa desde pelo menos 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas.

A partir de 2019, ele começou a armazenar seus módulos no disco usando um formato de arquivo especial, dificultando a identificação destes arquivos no computador da vítima.  

Além disso, ele salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do YouTube, tornando sua classificação como malicioso mais complicada por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo. 

Já o trojan bancário nomeado como Javali está ativo desde 2017 e foi identificado ataques contra clientes no México. Da mesma forma que o Guildma, ele também se dissemina por e-mails de phishing e começou a usar o YouTube para hospedar sua comunicação C2. A terceira família, Melcoz, está ativa desde pelo menos 2018 e se espalhou em países como México e Espanha. 

Finalmente e igualmente importante, o Grandoreiro começou a mirar usuários na América Latina antes de se expandir para países da Europa. Está ativo desde pelo menos 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque.  

Para Bestuzhev, da Kaspersky, esses casos tendem a crescer e se diversificarem: “Nossa previsão é de que essas quatro famílias comecem a atacar outros bancos em outros países e que apareçam novas famílias. Por isso, é extremamente importante para as instituições financeiras monitorar essas ameaças de perto e tomar medidas para reforçar seus recursos antifraude".