Novo malware detectado mira bancos brasileiros

A ameaça também tem como alvo países da América Latina, como o México, e a Espanha

Compartilhar:

A Proofpoint, Inc. tem como trabalho contínuo o rastreio de grupos com atividades suspeitas usando malware bancário que atingem usuários e organizações no Brasil e América Latina. Recentemente, foram encontradas diversas ameaças direcionadas à Espanha, provenientes de ameaças maliciosas e malware que, tradicionalmente, têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas.



Embora a abordagem às vítimas nas Américas seja comum há algum tempo, os recentes agrupamentos que visam a Espanha têm sido atípicos em frequência e volume em comparação com atividades anteriores.

“O cenário brasileiro em relação às ameaças digitais, mudou rapidamente nos últimos anos. Agora, está muito mais complicado e diversificado. Temos mais pessoas online no País, o que significa que a base de possíveis vítimas aumentou também”, comenta Jared Peck, pesquisador de ameaças da Proofpoint. 



“De acordo com relatórios do mercado, o Brasil está entre os países mais visados por ladrões de informações e outros malwares, e sua ampla adoção aos serviços bancários on-line oferece potencial para atores de ameaças, engenheiros sociais ansiosos por realizar atividades financeiras on-line.”

O malware brasileiro tem como foco os bancos e vem em muitas variedades. Com base nas observações da Proofpoint, a maioria desses vírus parece ter uma linhagem em comum que é escrito em Delphi, uma linguagem de programação, com código-fonte reutilizado e modificado ao longo de muitos anos.



Esse malware inicial gerou muitas variedades de softwares maliciososs brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro. Alguns tipos de malware, como Grandoreiro, ainda estão em desenvolvimento ativo (tanto o carregador quanto a carga final).

O Grandoreiro, por exemplo, tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados já visados pelos hackers.

Com base na telemetria – tecnologia de medição de dados de forma remota para uma central de monitoramento – feita recentemente pela Proofpoint, o ataque causado pelo Grandoreiro é iniciado com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos. Assim que a vítima clica no URL, ela recebe um arquivo zip (formato compactado de envio) contendo o vírus.



Ao executá-lo, o arquivo malicioso usará uma injeção de DLL (Dynamic Link Libraries), técnica que permite mudar a lógica de um processo e acessar recursos protegidos, para adicionar comportamento malicioso a um programa legítimo, mas vulnerável. O vírus baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2) conquistando, então, o acesso geral aos computadores que foram hackeados.
 

Antes, os clientes bancários visados neste tipo de ataque estavam no Brasil e no México, mas as ações recentes mostram que também foi expandida para bancos na Espanha. Dois ataques atribuídos ao grupo de criminosos TA2725, de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando, simultaneamente, o México e a Espanha.



Este desenvolvimento significa que as sobreposições de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, para que os agentes da ameaça possam atingir vítimas em múltiplas regiões geográficas sem modificação do malware.

O que é o TA2725?

O TA2725, nome do grupo de cibercriminosos que estão por trás dessas campanhas de malware, é rastreado pela Proofpoint desde março de 2022 e é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente, no Brasil e no México. Esse grupo foi observado visando credenciais de bancos e de consumidores no país, com foco em informações de pagamento para contas de Netflix e Amazon.



O TA2725 normalmente hospeda seu redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.



“Dado o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum. À medida que os negócios continuam evoluindo e contando com fornecedores globais, as organizações em todo o mundo também continuarão sendo alvos da crescente ameaça à segurança cibernética”, finaliza Peck.

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...