Proofpoint mapeia malware que tem como alvo bancos brasileiros
25 de outubro de 2023A ameaça suspeita de malware também tem como alvo países da América Latina, como o México, e a Espanha
A Proofpoint, Inc., empresa líder em segurança cibernética e conformidade, tem como trabalho contínuo o rastreio de grupos com atividades suspeitas usando malware bancário que atingem usuários e organizações no Brasil e América Latina.
Recentemente, foram encontradas diversas ameaças direcionadas à Espanha, provenientes de ameaças maliciosas e malware que, tradicionalmente, têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas.
Embora a abordagem às vítimas nas Américas seja comum há algum tempo, os recentes agrupamentos que visam a Espanha têm sido atípicos em frequência e volume em comparação com atividades anteriores.
“O cenário brasileiro em relação às ameaças digitais, mudou rapidamente nos últimos anos. Agora, está muito mais complicado e diversificado. Temos mais pessoas online no País, o que significa que a base de possíveis vítimas aumentou também”, comenta Jared Peck, pesquisador de ameaças da Proofpoint.
“De acordo com relatórios do mercado, o Brasil está entre os países mais visados por ladrões de informações e outros malwares, e sua ampla adoção aos serviços bancários on-line oferece potencial para atores de ameaças, engenheiros sociais ansiosos por realizar atividades financeiras on-line.”
O malware brasileiro tem como foco os bancos e vem em muitas variedades. Com base nas observações da Proofpoint, a maioria desses vírus parece ter uma linhagem em comum que é escrito em Delphi, uma linguagem de programação, com código-fonte reutilizado e modificado ao longo de muitos anos.
Esse malware inicial gerou muitas variedades de softwares maliciososs brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro.
Alguns tipos de malware, como Grandoreiro, ainda estão em desenvolvimento ativo (tanto o carregador quanto a carga final).
O Grandoreiro, por exemplo, tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados já visados pelos hackers.
Com base na telemetria – tecnologia de medição de dados de forma remota para uma central de monitoramento – feita recentemente pela Proofpoint, o ataque causado pelo Grandoreiro é iniciado com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos.
Assim que a vítima clica no URL, ela recebe um arquivo zip (formato compactado de envio) contendo o vírus.
Ao executá-lo, o arquivo malicioso usará uma injeção de DLL (Dynamic Link Libraries), técnica que permite mudar a lógica de um processo e acessar recursos protegidos, para adicionar comportamento malicioso a um programa legítimo, mas vulnerável.
O vírus baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2) conquistando, então, o acesso geral aos computadores que foram hackeados.
Antes, os clientes bancários visados neste tipo de ataque estavam no Brasil e no México, mas as ações recentes mostram que também foi expandida para bancos na Espanha.
Dois ataques atribuídos ao grupo de criminosos TA2725, de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando, simultaneamente, o México e a Espanha.
Este desenvolvimento significa que as sobreposições de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, para que os agentes da ameaça possam atingir vítimas em múltiplas regiões geográficas sem modificação do malware.
O que é o TA2725?
O TA2725, nome do grupo de cibercriminosos que estão por trás dessas campanhas de malware, é rastreado pela Proofpoint desde março de 2022 e é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente, no Brasil e no México.
Esse grupo foi observado visando credenciais de bancos e de consumidores no país, com foco em informações de pagamento para contas de Netflix e Amazon.
O TA2725 normalmente hospeda seu redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.
“Dado o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum. À medida que os negócios continuam evoluindo e contando com fornecedores globais, as organizações em todo o mundo também continuarão sendo alvos da crescente ameaça à segurança cibernética”, finaliza Peck.
Sobre a Proofpoint, Inc.
A Proofpoint, Inc. é uma empresa líder em cibersegurança e compliance que protege os maiores ativos e maiores riscos das organizações: suas pessoas.
Com um conjunto integrado de soluções baseadas em nuvem, a Proofpoint ajuda empresas de todo o mundo a interromper ameaças direcionadas, proteger seus dados e tornar seus usuários mais resilientes contra ataques cibernéticos.
Organizações líderes de todos os tamanhos, incluindo 75% da Fortune 100, contam com a Proofpoint para soluções de segurança e conformidade centradas em pessoas que mitigam seus riscos mais críticos em e-mail, nuvem, mídia social e web.
Malware Hunting – Dissecting PDF file.
Cuidado: Malware para roubo de credenciais bancárias persiste no Brasil
60% do malware vendido na darkweb são ransomware, revela Kaspersky
