Cibercriminosos brasileiros estão exportando malwares bancários para países da América Latina, Estados Unidos e China. A descoberta foi realizada pela companhia de cibersegurança Kaspersky, que identificou quatro programas maliciosos operados por diferentes grupos brasileiros e que miram instituições bancárias daqui e do exterior.

São quatro trojans bancários: Guildma, Javali, Melcoz e Grandor, capazes de roubar credenciais salvas nos navegadores web ou na memória do computador para acessar internet banking. O conjunto foi batizado de Tetrade e, de acordo com a companhia, já foram utilizados para atacar instituições no Chile, México, Portugal, Espanha, Brasil, entre outros.

Esses malwares foram criados por grupos brasileiros e sua internacionalização funciona por meio de “parcerias” com hackers de outros países. Em outros casos, os programas maliciosos são vendidos em um sistema conhecido como MaaS (Malware como serviço), quando o grupo fornece o ataque para outro em troca de uma grana.

De acordo com a Kaspersky, alguns dos trojans têm módulos para roubar carteiras de criptomoedas, outros permitem operações relacionadas à transações bancárias online, roubo de senhas e monitoramento da área de transferência.

Como esses malwares invadem os computadores e como se proteger?

Em uma conversa por e-mail com o Gizmodo Brasil, Fabio Assolini, analista sênior de segurança da Kaspersky, explicou que essas ameaças costumam ser disseminadas por e-mails maliciosos, uma técnica conhecida como phishing.

No phishing, a vítima recebe um e-mail que parece legítimo, contendo um anexo com uma conta a pagar ou um endereço de um site para fazer um login. Porém, o material contido em anexo ou essa página não são verdadeiros, levando a pessoa a instalar um arquivo desconhecido em seu computador.

“Também encontramos algumas poucas campanhas de search poisoning, onde ao fazer determinada busca no Google, o primeiro site que aparece os resultados é um anuncio pago pelo criminoso, para divulgar o site falso que está distribuindo o malware”, conta Assolini.

O analista afirma ainda que as campanhas analisadas são voltadas somente para computadores, infectando sistemas Windows. Por isso, os usuários de PC precisam tomar cuidado redobrado.

“A primeira recomendação que damos é contar com uma boa ferramenta de segurança instalada em seus dispositivos. Essas soluções conseguirão identificar 99% dessas ameaças infiltradas em seus equipamentos”, aconselha Assolini.

Ele também recomenda que as pessoas “desenvolvam um senso crítico” sobre as mensagens que chegam no e-mail. “Por exemplo, não abrir arquivos nem acesse links enviados por remetentes desconhecidos, pesquisar se as ofertas que chegam ao e-mail e pedem um cadastro são verdadeiras – muitas vezes, não são –, e jamais responder a um e-mail que diz ser o do seu banco, pois os bancos jamais se comunicam com os seus clientes via e-mail. Tenha muita certeza sobre a idoneidade do site com o qual vai compartilhar os seus dados, especialmente se contiver credenciais bancárias”, alerta.

Conhecendo um pouco de cada malware

O analista da Kaspersky também nos contou um pouco mais sobre cada uma dessas ameaças que compõem o Tetrade. Cada nome indica um grupo criminoso por traz dos ataques, que foram diferenciados pelo código do malware.

O malware Guildma se espalha por e-mails disfarçados como notificações ou comunicados legítimos de empresas. Ele foi descoberto há 5 anos e, de lá para cá, incorporou técnicas de ocultação que o tornaram difícil de detectar.

“A partir de 2019, ele começou a armazenar seus módulos no disco usando um formado de arquivo especial, dificultando a identificação destes arquivos no computador da vítima. Além disso, ele salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do YouTube, tornando sua classificação como maliciosa mais complicada por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo”, detalha Assolini.

Para funcionar, um malware como esse precisa se conectar a um servidor por meio da internet e dali receber as informações de como operar. Os dados roubados também são enviados para esse mesmo servidor. Essas informações sobre o servidor utilizado pelos cibercriminosos estavam escondidos em publicações criptografadas no Facebook e no YouTube – o código do malware acessava esses posts para obter as coordenadas, em linhas gerais.

O Javali está ativo desde 2017 e também se dissemina por e-mails maliciosos e começou a usar o YouTube para hospedar sua comunicação C2 (Controle e Comando).

A família Melcoz está ativa desde pelo menos 2018 e tem se espalhado por países como México, Espanha e Portugal e as comunicações aconteciam via Google Docs, uma prática mais comum.

Por fim, o Grandoreiro está ativo pelo menos desde 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque. Como o Guildma e o Javali, ela oculta a comunicação de controle e comando em sites legítimos de terceiros.

A Kaspersky afirma que tem compartilhado as descobertas com autoridades responsáveis, através do OpenTIP, um portal de inteligência para agências de investigação criminal, porém a empresa de segurança diz não acompanhar as investigações policiais.