Brasil é principal alvo de campanha cibercriminosa para roubo de informações financeiras

Entre os meses de janeiro e fevereiro de 2017, a equipe de pesquisadores da FireEye iSIGHT Intelligence observou a disseminação do vírus Trojan Banload realizada por meio de campanhas de e-mail, e concluiu que a ação global se concentrou no Brasil, onde atingiu primordialmente os setores governamental e de defesa.

Esta infecção é classificada como um ataque de análise ou divergência, o qual funciona como etapa inicial destinada à coleta de informações da máquina. É apenas na fase seguinte que acontece o roubo das credenciais e o acesso efetivo ao sistema.

Os grupos de criminosos cibernéticos estão focados em roubar credenciais financeiras, tanto dos bancos quanto de boletos, método de pagamento digital. O Brasil registrou 57% das atividades com este perfil de Trojan, seguido dos Estados Unidos (19%) e da França (16%).

“A resposta para esta alta porcentagem de ataque pode estar no modo em como os brasileiros se tornaram mais dependentes de dispositivos conectados para fazer compras, conduzir negócios e gerenciar suas vidas. Este comportamento aumenta a exposição aos cibercriminosos, como os que estão por trás do Trojan Banload”, afirma Leandro Roosevelt, country manager da FireEye no Brasil.

“As organizações locais, por também serem dependentes da tecnologia para conduzirem seus negócios, devem investir na melhoria de sua capacidade de detecção e resposta rápida aos ataques cibernéticos – cada vez mais disruptivos”, completa o executivo.

Campanha de spam: como funciona o Banload – Campanhas de e-mail via spam distribuem anexos em ZIP, os quais detêm arquivos maliciosos em JAR. Quando abertos, estes baixam uma cópia do Banload Trojan na máquina da vítima, selando a primeira etapa.

Não há procedimentos físicos, uma vez que o grupo responsável pelo ciberataque dispara o conteúdo malicioso para uma base de endereços de e-mail, a qual contempla diversas indústrias. A partir da incidência é que conseguem verificar em qual vertical tiveram mais sucesso.

Uma vez instalado, o Banload está apto a verificar uma gama de condições – desde configurações de idioma até versões específicas do software instalado. Se estas são favoráveis, ele baixa o malware da segunda fase. Caso não, o downloader é excluído do sistema.
Na segunda fase é realizada uma cópia do Bancos, um malware de roubo de informações que visa os usuários brasileiros e, consequentemente, suas credenciais de acesso.

Inicialmente, cada variante deste malware era dirigida a um banco diferente. Entretanto, os cibercriminosos eliminaram este método para a realização de ataques mais amplos, incluindo usuários no exterior, como Estados Unidos e França.

Como se proteger
Mesmo identificada, não é possível prever se esta modalidade perdurará neste formato ou será atualizada.

Por outro lado, diferenciar um e-mail verdadeiro de um malicioso pode não ser uma tarefa fácil ao usuário comum. Por isso, algumas dicas são fundamentais a fim de evitar que suas credenciais e de seus sistemas sejam roubadas:

1. Assegure que sua companhia utiliza tecnologia avançada capaz de detectar ataques desconhecidos via e-mail – e não apenas os que já foram observados;
2. Observe o domínio do e-mail recebido antes de abri-lo;
3. Crie a cultura de verificação dos e-mails entre os colaboradores das empresas e pessoas físicas, uma vez que a invasão acontece por falha humana.