Um conjunto de malwares (programas maliciosos) brasileiros que miram roubar informações financeiras em pelo menos 11 países foi revelado pela Kaspersky Lab nesta terça-feira (14). Segundo a empresa de segurança digital, esses programas marcam uma tendência de cibercriminosos do país de passar a atacar também no exterior.
Eles estão na ativa pelo menos desde 2015 e continuam a infectar máquinas, com aproximadamente 3,5 mil ataques detectados pela Kaspersky em seus clientes desde que a empresa passou a monitorar essas ameaças, no fim do ano passado. O número pode ser maior, pois algumas ofensivas podem não ter sido identificadas, ou barradas por outras empresas de cibersegurança.
Os ataques confirmados aconteceram no Brasil, México, Portugal, Espanha e Chile. Além desses alvos, especialistas apontam que esses malwares estão prontos para funcionar nos Estados Unidos, na China e em quatro outros países da América do Sul.
Os programas maliciosos são denominados “Guildma”, “Javali”, “Melcoz” e “Grandoreiro” e atuam de forma independente, operados por diferentes grupos criminosos.
Todos são do tipo trojan (cavalo de tróia): ficam escondidos e desempenham as funções maliciosas na hora certa. No caso, se manifestam para roubar dados de acesso bancário quando o usuário entra no internet banking pelo computador, tudo de forma invisível.
“Em algumas campanhas pegam também outras senhas e capturam dados de bitcoin”, alerta Thiago Marques, pesquisador da Kaspersky.
De acordo com Marques, os quatro apresentam certo grau de sofisticação e usam técnicas avançadas para se esconderem. O Guildma é o mais arrojado, pois usa um sistema que passa por Facebook e YouTube a fim de se comunicar com os criminosos.
Para funcionar, malwares desse tipo precisam se conectar a um servidor (um computador remoto) por meio da internet. É dele que recebem as informações de como operar e é para ele que enviam os dados roubados.
Essa máquina possui um endereço na internet —da mesma forma que um site possui um endereço “www...”. Normalmente, essas direções estão escritas dentro do código do próprio vírus. Aí, uma vez que o malware é descoberto por especialistas, basta tirar do ar o servidor com o qual ele se comunicava para neutralizar a ameaça.
No caso do Guildma, os criminosos escondiam essa informação dentro de posts criptografados no Facebook e no YouTube. O vírus acessa esses sites e lá descobre o endereço do servidor. Caso ele seja tirado do ar, os atacantes podem simplesmente editar a postagem com novas direções.
Práticas parecidas foram vistas nos outros malwares brasileiros, mas eles optaram por abordagens um pouco mais comuns na praça. Javali e Melcoz se ligam a um documento no Google Docs. Grandoreiro cria sites especificamente para isso.
Para se espalhar, esses vírus usam técnicas manjadas. A principal delas é por email. Mensagens são disparadas aos montes e tentam fazer o usuário baixar um arquivo infectado (em anexo ou em um link dentro da mensagem).
Golpes online tendem a se manter atualizados com os temas que estão despertando interesse nas pessoas, e procuram se aproveitar disso. Portanto, no meio da pandemia de coronavírus, podem aparecer títulos do tipo “Aqui está a sua fatura de álcool em gel”.
Outra prática é a criação de sites falsos. Um exemplo é gerar uma página com uma suposta “consulta de CPF”. Nesse caso, os resultados da “consulta” são enviados para o usuário como um arquivo a ser baixado —na verdade, o vírus. Para se espalhar, o serviço falso aparece em anúncios online.
Por isso, a recomendação é sempre ter cuidado com emails e nunca fazer download de fontes não confiáveis. Para evitar esses ataques mais elaborados, aponta Marques, é importante ter um antivírus no computador.
“Não é mais como aquele vírus de antigamente que fazia uma página falsa do banco. Esse fica totalmente oculto no sistema e o usuário comum dificilmente vai conseguir identificar”, diz.
Segundo a Kaspersky, as informações coletadas sobre as atividades criminosas foram repassadas às autoridades.
Associação internacional
Para atacar usuários em outros países, esses cibercriminosos recrutam hackers locais para operar o esquema. Essa ligação tem sido comum envolvendo grupos brasileiros.
Uma das formas usadas para se encontrar é por meio de fóruns online —e nem sempre é muito escondido. Em sites onde cibercriminosos normalmente se reúnem, e até mesmo em alguns voltados a um público mais amplo, eles divulgam a intenção de mirar um país específico e potenciais associados entram em contato.
De acordo com Marques, a diferença é que os malwares desse grupo que circulam no Brasil são mais avançados, como se no exterior fossem usadas versões mais antigas. “Dá a entender que, por aqui, talvez os bancos já estejam mais maduros com esse tipo de ataque e os atacantes precisam burlar as seguranças existentes”, analisa.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.