A empresa americana Cybereason, criadora de uma solução de busca de ameaças baseada em Inteligência Artificial, publicou hoje um relatório mostrando que um malware utilizado antes somente contra bancos brasileiros já atacou clientes de mais de 60 bancos na América do Sul e na Europa (Espanha e Portugal). A pesquisa, feita pela sua equipe Nocturnus, também detalha as técnicas usadas pelos cibercriminosos brasileiros desde 2017 e destaca a eficácia de seus métodos na evasão de produtos de segurança, conforme demonstrado pela baixa taxa de detecção.
As descobertas estão baseadas numa pesquisa inicial feita a partir de setembro de 2018, quando o Nocturnus descreveu pela primeira vez o progressivo cenário de ameaças brasileiras e a difusão de malwares financeiros no País. “O Brasil é um dos países que mais contribui no ecossistema mundial do cibercrime, mas muitas vezes isso não é divulgado porque outros países ocupam a maioria das manchetes. E, em muitos aspectos, isso contribuiu para o crescimento do ecossistema de cibercrime no Brasil”, disse Assaf Dahan. diretor sênior de busca de ameaças da Cybereason. “O que é mais surpreendente na nossa descoberta e no rastreamento de agentes de ameaça brasileiros é a abrangência dessa variante de malware em particular, e o grande volume de países de língua espanhola atingidos.”
A pesquisa da Cybereason identificou três etapas principais comuns na maioria dos ataques. Em cada etapa, a empresa observou semelhanças nas ferramentas, técnicas e procedimentos compartilhados em todas as campanhas, entre os quais:
- Engenharia social como ponto de entrada (e-mails de phishing)
- Vários redirecionamentos via redutores de URL e uso de serviços de DNS dinâmicos
- Payloads hospedados em serviços de armazenamento online legítimos e em CDNs (redes de distribuição de conteúdo)
- Downloaders do PowerShell ofuscados, que empregam evasão do log de linha de comando
- Técnicas “living off the land”, que abusam dos binários assinados pela Microsoft
- Abuso de aplicativos confiáveis via sequestro de DLL
- Divisão do payload principal em dois ou mais pacotes
O relatório completo está em
https://www.cybereason.com/blog/brazilian-financial-malware-banking-europe-south-america