Malware comum no Brasil e América Latina volta garras contra Espanha

Proofpoint diz ter observado família de malware comum no Brasil e no México buscando credenciais de bancos e consumidores espanhóis

Author Photo
2:45 pm - 05 de fevereiro de 2024

Diversos grupos de malware comumente encontrados no Brasil, México e outras regiões da América Latina, e que tem como alvo falantes de português e espanhol, começaram a ser encontrados mirando operações e alvos na Espanha. Segundo a Proofpoint, que divulgou a descoberta essa semana, os recentes agrupamentos são atípicos em frequência e volume em comparação a atividades anteriores.

Ações recentes indicam a expansão da ameaça no país europeu. Dois ataques atribuídos ao TA2725, datados de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil visando, simultaneamente, México e Espanha. Esse tipo de ameaça é rastreado pela Proofpoint desde março de 2022 principalmente no Brasil e no México.

Leia também: Add Value cresce 84% e mira faturamento de R$ 200 mi em 2024

O vírus foi observado visando credenciais de bancos e de consumidores espanhóis, com foco em informações de pagamento para contas de Netflix e Amazon. O TA2725 normalmente hospeda o redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.

Segundo Rogério Morais, VP de América Latina e Caribe da Proofpoint, com “o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum”.

Grande família

Segundo a Proofpoint, a maioria dos vírus encontrados parece ter linhagem comum por serem escritos em Delphi, linguagem de programação com código-fonte reutilizado e modificado ao longo de muitos anos. Esse malware inicial gerou outras variedades de softwares maliciosos brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro.

Alguns tipos de malware, como Grandoreiro, diz a empresa, ainda estão em desenvolvimento ativo. Ele tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados visados pelos hackers.

Os ataques causados pelo Grandoreiro geralmente começam com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos. Assim que a vítima clica no link, recebe um arquivo zip contendo o vírus.

O arquivo malicioso usa uma injeção de DLL (Dynamic Link Libraries) para mudar a lógica de um processo e acessar recursos protegidos, assim adicionando comportamento malicioso a um programa legítimo, mas vulnerável. O vírus então baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2).

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Author Photo
Redação

A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.