Proofpoint mapeia malware que tem como alvo bancos brasileiros

0

Recentemente a Proofpoint encontrou diversas ameaças direcionadas à Espanha provenientes de  ameaças maliciosas e malware que, tradicionalmente, têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas. Embora a abordagem às vítimas nas Américas seja comum há algum tempo, os recentes agrupamentos que visam a Espanha têm sido atípicos em frequência e volume em comparação com atividades anteriores.

"O cenário brasileiro em relação às ameaças digitais, mudou rapidamente nos últimos anos. Agora, está muito mais complicado e diversificado. Temos mais pessoas online no País, o que significa que a base de possíveis vítimas aumentou também", comenta Jared Peck, pesquisador de ameaças da Proofpoint. "De acordo com relatórios do mercado, o Brasil está entre os países mais visados por ladrões de informações e outros malwares, e sua ampla adoção aos serviços bancários on-line oferece potencial para atores de ameaças, engenheiros sociais ansiosos por realizar atividades financeiras on-line."

O malware brasileiro tem como foco os bancos e vem em muitas variedades. Com base nas observações da Proofpoint, a maioria desses vírus parece ter uma linhagem em comum que é escrito em Delphi, uma linguagem de programação, com código-fonte reutilizado e modificado ao longo de muitos anos. Esse malware inicial gerou muitas variedades de softwares maliciososs brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro. Alguns tipos de malware, como Grandoreiro, ainda estão em desenvolvimento ativo (tanto o carregador quanto a carga final). 

O Grandoreiro, por exemplo, tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados já visados pelos hackers.

Com base na telemetria – tecnologia de medição de dados de forma remota para uma central de monitoramento – feita recentemente pela Proofpoint, o ataque causado pelo Grandoreiro é iniciado com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos. Assim que a vítima clica no URL, ela recebe um arquivo zip (formato compactado de envio) contendo o vírus. Ao executá-lo, o arquivo malicioso usará uma injeção de DLL (Dynamic Link Libraries), técnica que permite mudar a lógica de um processo e acessar recursos protegidos, para adicionar comportamento malicioso a um programa legítimo, mas vulnerável. O vírus baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2) conquistando, então, o acesso geral aos computadores que foram hackeados.

Antes, os clientes bancários visados neste tipo de ataque estavam no Brasil e no México, mas as ações recentes mostram que também foi expandida para bancos na Espanha. Dois ataques atribuídos ao grupo de criminosos TA2725, de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando, simultaneamente, o México e a Espanha. Este desenvolvimento significa que as sobreposições de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, para que os agentes da ameaça possam atingir vítimas em múltiplas regiões geográficas sem modificação do malware.

O que é o TA2725?

O TA2725, nome do grupo de cibercriminosos que estão por trás dessas campanhas de malware, é rastreado pela Proofpoint desde março de 2022 e é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente, no Brasil e no México. Esse grupo foi observado visando credenciais de bancos e de consumidores no país, com foco em informações de pagamento para contas de Netflix e Amazon. O TA2725 normalmente hospeda seu redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.  

"Dado o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum. À medida que os negócios continuam evoluindo e contando com fornecedores globais, as organizações em todo o mundo também continuarão sendo alvos da crescente ameaça à segurança cibernética", finaliza Peck. 

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.