Cibercriminosos brasileiros ‘exportam’ malware bancário para outros países

Cibercriminosos brasileiros estão realizando fraudes bancárias fora do País. De acordo com pesquisadores da Kaspersky, quatro famílias de trojans bancários – nomeados de Guildma, Javali, Melcoz e Grandoreiro – atuam na Europa e América Latina, mas também mostram interesse em fazer vítimas na América do Norte e China. Esta tendência foi nomeada como Tetrade e o conjunto de trojans traz as últimas inovações em malware bancários em técnicas de evasão e ocultamento.

O Brasil é tido como um dos países mais ativos e criativos quando se trata de ameaças financeiras. No entanto, estes criminosos apresentavam uma atuação local, focando seus golpes contra bancos com atuação nacional. De acordo com a Kaspersky, no início de 2011, houve um início de internacionalização destes ataques, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada, ações essas que não foram continuadas. Porém, as quatro famílias nomeadas como Tetrade são inovações que permitiram a expansão mundo afora e consolidaram o País como exportador de malware, alerta a Kaspersky.

Um deles, o Guildma, está ativo desde pelo menos 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas. Já o trojan bancário nomeado como Javali está ativo desde 2017 e foi identificado ataques contra clientes no México. Da mesma forma que o Guildma, ele também se dissemina por e-mails de phishing e começou a usar o YouTube para hospedar sua comunicação C2. A terceira família, Melcoz, está ativa desde pelo menos 2018 e se espalhou em países como México e Espanha.

O Grandoreiro começou a mirar usuários na América Latina antes de se expandir para países da Europa. Está ativo desde pelo menos 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque. Essa família é distribuída por meio de sites comprometidos e por spearphishing. Como o Guildma e o Javali, ela oculta a comunicação C2 em sites legítimos de terceiros.

“Os criminosos brasileiros, como os que estão por trás dessas quatro famílias de malware bancário, estão recrutando ativamente afiliados em outros países para exportar suas ameaças para o mundo inteiro”, comenta Dmitry Bestuzhev, chefe da Equipe GReAT na América Latina. “Além disso, eles continuam inovando, adicionando novos artifícios e técnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos. Nossa previsão é de que essas quatro famílias comecem a atacar outros bancos em outros países e que apareçam novas famílias. Por isso, é extremamente importante para as instituições financeiras monitorar essas ameaças de perto e tomar medidas para reforçar seus recursos antifraude”.