Últimas notícias

Fique informado

Proofpoint mapeia malware que tem como alvo bancos brasileiros

25 de outubro de 2023

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

A ameaça suspeita de malware também tem como alvo países da América Latina, como o México, e a Espanha

A Proofpoint, Inc., empresa líder em segurança cibernética e conformidade, tem como trabalho contínuo o rastreio de grupos com atividades suspeitas usando malware bancário que atingem usuários e organizações no Brasil e América Latina.

Recentemente, foram encontradas diversas ameaças direcionadas à Espanha, provenientes de ameaças maliciosas e malware que, tradicionalmente, têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas.

Embora a abordagem às vítimas nas Américas seja comum há algum tempo, os recentes agrupamentos que visam a Espanha têm sido atípicos em frequência e volume em comparação com atividades anteriores.

“O cenário brasileiro em relação às ameaças digitais, mudou rapidamente nos últimos anos. Agora, está muito mais complicado e diversificado. Temos mais pessoas online no País, o que significa que a base de possíveis vítimas aumentou também”, comenta Jared Peck, pesquisador de ameaças da Proofpoint.

“De acordo com relatórios do mercado, o Brasil está entre os países mais visados por ladrões de informações e outros malwares, e sua ampla adoção aos serviços bancários on-line oferece potencial para atores de ameaças, engenheiros sociais ansiosos por realizar atividades financeiras on-line.”

O malware brasileiro tem como foco os bancos e vem em muitas variedades. Com base nas observações da Proofpoint, a maioria desses vírus parece ter uma linhagem em comum que é escrito em Delphi, uma linguagem de programação, com código-fonte reutilizado e modificado ao longo de muitos anos.

Esse malware inicial gerou muitas variedades de softwares maliciososs brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro.

Alguns tipos de malware, como Grandoreiro, ainda estão em desenvolvimento ativo (tanto o carregador quanto a carga final).

O Grandoreiro, por exemplo, tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados já visados pelos hackers.

Com base na telemetria – tecnologia de medição de dados de forma remota para uma central de monitoramento – feita recentemente pela Proofpoint, o ataque causado pelo Grandoreiro é iniciado com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos.

Assim que a vítima clica no URL, ela recebe um arquivo zip (formato compactado de envio) contendo o vírus.

Ao executá-lo, o arquivo malicioso usará uma injeção de DLL (Dynamic Link Libraries), técnica que permite mudar a lógica de um processo e acessar recursos protegidos, para adicionar comportamento malicioso a um programa legítimo, mas vulnerável.

O vírus baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2) conquistando, então, o acesso geral aos computadores que foram hackeados.

Antes, os clientes bancários visados neste tipo de ataque estavam no Brasil e no México, mas as ações recentes mostram que também foi expandida para bancos na Espanha.

Dois ataques atribuídos ao grupo de criminosos TA2725, de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando, simultaneamente, o México e a Espanha.

Este desenvolvimento significa que as sobreposições de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, para que os agentes da ameaça possam atingir vítimas em múltiplas regiões geográficas sem modificação do malware.

O que é o TA2725?

O TA2725, nome do grupo de cibercriminosos que estão por trás dessas campanhas de malware, é rastreado pela Proofpoint desde março de 2022 e é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente, no Brasil e no México.

Esse grupo foi observado visando credenciais de bancos e de consumidores no país, com foco em informações de pagamento para contas de Netflix e Amazon.

O TA2725 normalmente hospeda seu redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.

“Dado o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum. À medida que os negócios continuam evoluindo e contando com fornecedores globais, as organizações em todo o mundo também continuarão sendo alvos da crescente ameaça à segurança cibernética”, finaliza Peck.

Sobre a Proofpoint, Inc.

A Proofpoint, Inc. é uma empresa líder em cibersegurança e compliance que protege os maiores ativos e maiores riscos das organizações: suas pessoas.

Com um conjunto integrado de soluções baseadas em nuvem, a Proofpoint ajuda empresas de todo o mundo a interromper ameaças direcionadas, proteger seus dados e tornar seus usuários mais resilientes contra ataques cibernéticos.

Organizações líderes de todos os tamanhos, incluindo 75% da Fortune 100, contam com a Proofpoint para soluções de segurança e conformidade centradas em pessoas que mitigam seus riscos mais críticos em e-mail, nuvem, mídia social e web.

Malware Hunting – Dissecting PDF file.

Cuidado: Malware para roubo de credenciais bancárias persiste no Brasil

60% do malware vendido na darkweb são ransomware, revela Kaspersky 

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)