A Proofpoint, Inc. tem como trabalho contínuo o rastreio de grupos com atividades suspeitas usando malware bancário que atingem usuários e organizações no Brasil e América Latina. Recentemente, foram encontradas diversas ameaças direcionadas à Espanha, provenientes de ameaças maliciosas e malware que, tradicionalmente, têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas.
Embora a abordagem às vítimas nas Américas seja comum há algum tempo, os recentes agrupamentos que visam a Espanha têm sido atípicos em frequência e volume em comparação com atividades anteriores.
“O cenário brasileiro em relação às ameaças digitais, mudou rapidamente nos últimos anos. Agora, está muito mais complicado e diversificado. Temos mais pessoas online no País, o que significa que a base de possíveis vítimas aumentou também”, comenta Jared Peck, pesquisador de ameaças da Proofpoint.
“De acordo com relatórios do mercado, o Brasil está entre os países mais visados por ladrões de informações e outros malwares, e sua ampla adoção aos serviços bancários on-line oferece potencial para atores de ameaças, engenheiros sociais ansiosos por realizar atividades financeiras on-line.”
O malware brasileiro tem como foco os bancos e vem em muitas variedades. Com base nas observações da Proofpoint, a maioria desses vírus parece ter uma linhagem em comum que é escrito em Delphi, uma linguagem de programação, com código-fonte reutilizado e modificado ao longo de muitos anos.
Esse malware inicial gerou muitas variedades de softwares maliciososs brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro. Alguns tipos de malware, como Grandoreiro, ainda estão em desenvolvimento ativo (tanto o carregador quanto a carga final).
O Grandoreiro, por exemplo, tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados já visados pelos hackers.
Com base na telemetria – tecnologia de medição de dados de forma remota para uma central de monitoramento – feita recentemente pela Proofpoint, o ataque causado pelo Grandoreiro é iniciado com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos. Assim que a vítima clica no URL, ela recebe um arquivo zip (formato compactado de envio) contendo o vírus.
Ao executá-lo, o arquivo malicioso usará uma injeção de DLL (Dynamic Link Libraries), técnica que permite mudar a lógica de um processo e acessar recursos protegidos, para adicionar comportamento malicioso a um programa legítimo, mas vulnerável. O vírus baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2) conquistando, então, o acesso geral aos computadores que foram hackeados.
Antes, os clientes bancários visados neste tipo de ataque estavam no Brasil e no México, mas as ações recentes mostram que também foi expandida para bancos na Espanha. Dois ataques atribuídos ao grupo de criminosos TA2725, de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando, simultaneamente, o México e a Espanha.
Este desenvolvimento significa que as sobreposições de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, para que os agentes da ameaça possam atingir vítimas em múltiplas regiões geográficas sem modificação do malware.
O que é o TA2725?
O TA2725, nome do grupo de cibercriminosos que estão por trás dessas campanhas de malware, é rastreado pela Proofpoint desde março de 2022 e é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente, no Brasil e no México. Esse grupo foi observado visando credenciais de bancos e de consumidores no país, com foco em informações de pagamento para contas de Netflix e Amazon.
O TA2725 normalmente hospeda seu redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.
“Dado o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum. À medida que os negócios continuam evoluindo e contando com fornecedores globais, as organizações em todo o mundo também continuarão sendo alvos da crescente ameaça à segurança cibernética”, finaliza Peck.
