Cibercriminosos brasileiros, considerados um dos mais criativos na criação de malware, estão realizando fraudes bancárias fora do País. De acordo com pesquisadores da Kaspersky, quatro famílias de trojans bancários – nomeados de Guildma, Javali, Melcoz e Grandoreiro – atuam na Europa e América Latina, mas também mostram interesse em fazer vítimas na América do Norte. Esta tendência foi nomeada como Tetrade e o conjunto de trojans traz as últimas inovações em malware bancários em técnicas de evasão e ocultamento.
O Brasil é um dos países mais ativos e criativos quando se trata de ameaças financeiras , ou seja, malware que rouba credenciais de sistemas de pagamento online e Internet Banking. No entanto, estes criminosos apresentavam uma atuação local, focando seus golpes contra bancos nacionais. No início de 2011, houve um início de internacionalização destes ataques, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada. Porém, o que vemos nessas quatro famílias Tetrade são inovações que permitiram a expansão mundo afora e consolidaram o País como exportador de malware.
Um deles, o Guildma, está ativo desde pelo menos 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas.
Desde a sua descoberta, o Guildma incorporou várias técnicas de ocultação que o tornaram difícil de detectar. A partir de 2019, ele começou a armazenar seus módulos no disco usando um formato de arquivo especial, dificultando a identificação no computador da vítima. Além disso, ele salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do YouTube, tornando sua classificação como malicioso mais complicada, por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo.
Já o trojan bancário “Javali” está ativo desde 2017 e foi identificado ataques contra clientes no México. Da mesma forma que o Guildma, também se dissemina por e-mails de phishing e começou a usar o YouTube para hospedar sua comunicação C2. A terceira família, Melcoz, está ativa desde pelo menos 2018 e se espalhou em países como México, Espanha e Portugal.
Finalmente, o Grandoreiro começou a mirar usuários na América Latina antes de se expandir para a Europa. Está ativo desde pelo menos 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque. Essa família é distribuída por meio de sites comprometidos e por spearphishing. Como o Guildma e o Javali, ela oculta a comunicação C2 em sites legítimos de terceiros.
Evolução do cibercrime
De acordo com o analista-sênior de malware da Kaspersky, Fabio Assolini, as novas famílias de Trojans bankers mostram que o cibercrime brasileiro “está eles técnicas bem modernas de infecção, tornando a análise bem mais complexa.”
Para ele, o foco em bancos no exterior mostra que essas instituições oferecem menos resistência a golpes que as nacionais. “Os bancos nacionais adotam mais medidas de segurança, como tokens. Lá fora, como o ambiente de fraude sempre foi menor, há menos camadas de proteção”.
Assolini diz que as campanhas estão muito ativas. “Detectamos mais de 200 URLs só do Guildma por dia”, diz.
“Os criminosos brasileiros, como os que estão por trás dessas quatro famílias de malware bancário, estão recrutando ativamente afiliados em outros países para exportar suas ameaças. Além disso, continuam inovando, adicionando novos artifícios e técnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos”, comenta Dmitry Bestuzhev, chefe da Equipe GReAT na América Latina. “Nossa previsão é de que essas quatro famílias comecem a atacar outros bancos em outros países e que apareçam novas famílias. Por isso, é extremamente importante para as instituições financeiras monitorar essas ameaças de perto e tomar medidas para reforçar seus recursos antifraude”.
Com informações da Jeffrey Group