A Proofpoint, Inc., uma empresa líder em segurança cibernética e conformidade, está constantemente envolvida em rastrear grupos com atividades suspeitas que utilizam malware bancário para atingir usuários e organizações no Brasil e na América Latina. Recentemente, a empresa detectou várias ameaças direcionadas à Espanha, provenientes de ameaças maliciosas e malware que tradicionalmente têm como alvo pessoas que falam português e espanhol no Brasil, no México e em outras partes das Américas. Embora a abordagem às vítimas nas Américas seja comum há algum tempo, as atividades recentes direcionadas à Espanha têm se destacado em termos de frequência e volume em comparação com as atividades anteriores.
Jared Peck, pesquisador de ameaças da Proofpoint, observa que o cenário de ameaças digitais no Brasil tem evoluído rapidamente nos últimos anos, tornando-se mais complexo e diversificado. Isso se deve em parte ao aumento do número de pessoas online no país, o que amplia a base de possíveis vítimas. Relatórios do mercado indicam que o Brasil é um dos países mais visados por criminosos em busca de informações e outros tipos de malwares. A ampla adoção de serviços bancários online no país oferece potencial para atores de ameaças e engenheiros sociais interessados em realizar atividades financeiras online.
O malware brasileiro tem como alvo os bancos e existe em várias variedades. A maioria desses malwares parece compartilhar uma linhagem comum escrita em Delphi, uma linguagem de programação, e seu código-fonte é reutilizado e modificado ao longo de muitos anos. Isso deu origem a diversas variantes de malwares brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro. Alguns deles, como o Grandoreiro, ainda estão em desenvolvimento ativo, tanto o carregador quanto a carga final.
O Grandoreiro, por exemplo, é capaz de roubar dados por meio de keyloggers (capturadores de teclas) e capturadores de tela, além de coletar informações de login de bancos quando a vítima infectada visita sites bancários específicos já visados pelos hackers.
De acordo com a telemetria recente da Proofpoint, o ataque do Grandoreiro começa com um URL em um e-mail contendo várias iscas, como documentos compartilhados, notas fiscais eletrônicas e contas de serviços públicos. Quando a vítima clica no URL, ela recebe um arquivo zip contendo o vírus. Ao executá-lo, o malware usa uma injeção de DLL para adicionar comportamento malicioso a um programa legítimo e vulnerável. O vírus baixa e executa a última etapa do Grandoreiro, comunicando-se com um servidor de comando e controle (C2) e obtendo acesso aos computadores hackeados.
Anteriormente, os alvos desse tipo de ataque estavam no Brasil e no México, mas recentemente houve uma expansão para bancos na Espanha. Dois ataques atribuídos ao grupo de criminosos TA2725, que ocorreram entre 24 e 29 de agosto de 2023, compartilharam infraestrutura e carga útil comuns, visando simultaneamente o México e a Espanha. Isso indica que os ataques de roubo de credenciais bancárias do Grandoreiro agora incluem bancos na Espanha e no México na mesma versão, permitindo que os agentes da ameaça atinjam vítimas em várias regiões geográficas sem modificar o malware.
O grupo de cibercriminosos por trás dessas campanhas de malware é chamado de TA2725, e a Proofpoint tem acompanhado suas atividades desde março de 2022. Esse grupo é conhecido por usar malware bancário brasileiro e phishing para atingir organizações, principalmente no Brasil e no México. Eles visam principalmente as credenciais de bancos e de consumidores, com foco em informações de pagamento para contas de serviços como Netflix e Amazon. O TA2725 normalmente hospeda seus redirecionadores de URL no GoDaddy e direciona os usuários para arquivos zip hospedados em provedores legítimos de serviços em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.
Devido ao rápido desenvolvimento de malware e à capacidade dos agentes de ameaças na América Latina e América do Sul, a Proofpoint espera ver um aumento nos alvos fora da região que compartilham uma língua comum. À medida que as empresas continuam a evoluir e a contar com fornecedores globais, organizações em todo o mundo também continuarão sendo alvos dessa crescente ameaça à segurança cibernética.
