Malware comum no Brasil e América Latina volta garras contra Espanha

Diversos grupos de malware comumente encontrados no Brasil, México e outras regiões da América Latina, e que tem como alvo falantes de português e espanhol, começaram a ser encontrados mirando operações e alvos na Espanha. Segundo a Proofpoint, que divulgou a descoberta essa semana, os recentes agrupamentos são atípicos em frequência e volume em comparação a atividades anteriores.

Ações recentes indicam a expansão da ameaça no país europeu. Dois ataques atribuídos ao TA2725, datados de 24 a 29 de agosto de 2023, compartilharam infraestrutura e carga útil visando, simultaneamente, México e Espanha. Esse tipo de ameaça é rastreado pela Proofpoint desde março de 2022 principalmente no Brasil e no México.

Leia também: Add Value cresce 84% e mira faturamento de R$ 200 mi em 2024

O vírus foi observado visando credenciais de bancos e de consumidores espanhóis, com foco em informações de pagamento para contas de Netflix e Amazon. O TA2725 normalmente hospeda o redirecionador de URL no GoDaddy e desvia os usuários para um arquivo zip atrelado a provedores legítimos de hospedagem em nuvem, como Amazon AWS, Google Cloud ou Microsoft Azure.

Segundo Rogério Morais, VP de América Latina e Caribe da Proofpoint, com “o rápido desenvolvimento de malware e a capacidade dos agentes de ameaças na América Latina e na América do Sul, esperamos ver um aumento nos alvos de oportunidade fora dessa região que partilham uma linguagem comum”.

Grande família

Segundo a Proofpoint, a maioria dos vírus encontrados parece ter linhagem comum por serem escritos em Delphi, linguagem de programação com código-fonte reutilizado e modificado ao longo de muitos anos. Esse malware inicial gerou outras variedades de softwares maliciosos brasileiros, como o Javali, Casabeniero, Mekotio e Grandoreiro.

Alguns tipos de malware, como Grandoreiro, diz a empresa, ainda estão em desenvolvimento ativo. Ele tem a capacidade de roubar dados por ferramentas a partir de ações feitas no teclado (keyloggers) e capturadores de tela, assim como roubar informações de login de bancos quando a vítima infectada visita sites bancários pré-determinados visados pelos hackers.

Os ataques causados pelo Grandoreiro geralmente começam com uma URL em um e-mail com diversas iscas, como documentos compartilhados, Nota Fiscal Eletrônica e contas de serviços públicos. Assim que a vítima clica no link, recebe um arquivo zip contendo o vírus.

O arquivo malicioso usa uma injeção de DLL (Dynamic Link Libraries) para mudar a lógica de um processo e acessar recursos protegidos, assim adicionando comportamento malicioso a um programa legítimo, mas vulnerável. O vírus então baixa e executa o passo final do Grandoreiro e faz check-in com um servidor de comando e controle (C2).

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!