Cibercrime internacional já opera com trojans feitos no Brasil

Quatro famílias de trojans bancários atacando na Europa e América Latina foram na verdade desenvolvidas no Brasil
Da Redação
14/07/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Trojans desenvolvidos por cibercriminosos brasileiros estão sendo utilizados em fraudes bancárias fora do país: pesquisadores da Kaspersky descobriram que quatro famílias de trojan bancários — batizados com os nomes de Guildma, Javali, Melcoz e Grandoreiro — estão fazendo ataques na Europa e na América Latina, além de já terem sido observados em tentativas de fazer vítimas na América do Norte e na China. A tendência foi chamada de “Tetrade” e o conjunto de trojans traz as mais recentes inovações em termos de técnicas de evasão e ocultamento utilizadas em trojans bancários.

Dmitry Bestuzhev, chefe da equipe de pesquisa e análise global da Kaspersky na América Latina, conta que “os cibercriminosos brasileiros, como os que estão por trás dessas quatro famílias de malware bancário, estão recrutando ativamente afiliados em outros países para exportar suas ameaças para o mundo inteiro”. Segundo ele, os bandidos continuam inovando, adicionando novos artifícios e técnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos: “Nossa previsão é de que essas quatro famílias comecem a atacar outros bancos em outros países e que apareçam novas famílias. Por isso, é extremamente importante para as instituições financeiras monitorar essas ameaças de perto e tomar medidas para reforçar seus recursos antifraude”. 

Veja isso
Vídeo: cibercrime internacional já opera com trojans feitos no Brasil
Trojan desenvolvido no Brasil atacou bancos na Espanha

A Kaspersky considera o Brasil um dos países onde há uma quantidade considerável de cibercriminosos ativos e criativos quando se trata de operar com ameaças financeiras. Inicialmente, diz relatório da empresa sobre os trojans, os cibercriminosos atuavam apenas contra usuários do país e bancos brasileiros. “No início de 2011, houve um início de internacionalização desses ataques, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada, ações essas que não foram continuadas. Porém, o que vemos nessas quatro famílias nomeadas como Tetrade são inovações que permitiram a expansão mundo afora e consolidaram o País como exportador de malware”.

Um desses trojans, o Guildma, está ativo desde pelo menos 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas, informa a Kaspersky:

“Desde a sua descoberta, o Guildma incorporou várias técnicas de ocultação que o tornaram difícil de detectar. A partir de 2019, ele começou a armazenar seus módulos no disco usando um formado de arquivo especial, dificultando a identificação destes arquivos no computador da vítima. Além disso, ele salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do YouTube, tornando sua classificação como malicioso mais complicada por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo”.

Já o trojan bancário nomeado como Javali, relata a Kaspersky, está ativo desde 2017 e foi identificado em ataques contra clientes no México. Da mesma forma que o Guildma, ele também se dissemina por e-mails de phishing e começou a usar o YouTube para hospedar sua comunicação C2. A terceira família, Melcoz, está ativa desde pelo menos 2018 e se espalhou em países como México e Espanha.

Já o Grandoreiro começou a mirar usuários na América Latina antes de se expandir para países da Europa. Está ativo segundo a empresa desde pelo menos 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos de outro país podem comprar o acesso às ferramentas necessárias para lançar um ataque.  Essa família é distribuída por meio de sites comprometidos e por spearphishing. Como o Guildma e o Javali, ela oculta a comunicação C2 em sites legítimos de terceiros.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório