Vírus brasileiros miram senhas de bancos em pelo menos 11 países
Os ataques confirmados aconteceram no Brasil, México, Portugal, Espanha e Chile
Um conjunto de malwares (programas maliciosos) brasileiros que visam roubar informações financeiras em pelo menos 11 países foi revelado pela Kaspersky Lab nesta terça-feira (14). Segundo a empresa de segurança digital, esses programas marcam uma tendência de cibercriminosos do país de passar a atacar também no exterior.
Eles estão na ativa pelo menos desde 2015 e continuam a infectar máquinas, com aproximadamente 3,5 mil ataques detectados pela Kaspersky em seus clientes desde que a empresa passou a monitorar essas ameaças, no fim do ano passado. O número pode ser maior, pois algumas ofensivas podem não ter sido identificadas, ou barradas por outras empresas de cibersegurança.
Os ataques confirmados aconteceram no Brasil, México, Portugal, Espanha e Chile. Além desses alvos, especialistas apontam que esses malwares estão prontos para funcionar nos Estados Unidos, na China e em quatro outros países da América do Sul. Os programas maliciosos são denominados "Guildma", "Javali", "Melcoz" e "Grandoreiro" e atuam de forma independente, operados por diferentes grupos criminosos. Todos são do tipo trojan (cavalo de troia): ficam escondidos e desempenham as funções maliciosas na hora certa. No caso, se manifestam para roubar dados de acesso bancário quando o usuário entra no internet banking pelo computador, tudo de forma invisível.
Leia também
• Acesso à internet aumenta entre crianças e adolescentes
• Relatório deve ampliar punições para quem impulsiona fake news na internet
• Brasil tem 134 milhões de usuários de Internet, aponta pesquisa
"Em algumas campanhas pegam também outras senhas e capturam dados de bitcoin", alerta Thiago Marques, pesquisador da Kaspersky. De acordo com Marques, os quatro apresentam certo grau de sofisticação e usam técnicas avançadas para se esconderem. O Guildma é o mais arrojado, pois usa um sistema que passa por Facebook e YouTube a fim de se comunicar com os criminosos.
Para funcionar, malwares desse tipo precisam se conectar a um servidor (um computador remoto) por meio da internet. É dele que recebem as informações de como operar e é para ele que enviam os dados roubados. Essa máquina possui um endereço na internet -da mesma forma que um site possui um endereço "www...". Normalmente, essas direções estão escritas dentro do código do próprio vírus. Aí, uma vez que o malware é descoberto por especialistas, basta tirar do ar o servidor com o qual ele se comunicava para neutralizar a ameaça.
No caso do Guildma, os criminosos escondiam essa informação dentro de posts criptografados no Facebook e no YouTube. O vírus acessa esses sites e lá descobre o endereço do servidor. Caso ele seja tirado do ar, os atacantes podem simplesmente editar a postagem com novas direções.
Práticas parecidas foram vistas nos outros malwares brasileiros, mas eles optaram por abordagens um pouco mais comuns na praça. Javali e Melcoz se ligam a um documento no Google Docs. Grandoreiro cria sites especificamente para isso.
Para se espalhar, esses vírus usam técnicas manjadas. A principal delas é por email. Mensagens são disparadas aos montes e tentam fazer o usuário baixar um arquivo infectado (em anexo ou em um link dentro da mensagem).
Golpes online tendem a se manter atualizados com os temas que estão despertando interesse nas pessoas, e procuram se aproveitar disso. Portanto, no meio da pandemia de coronavírus, podem aparecer títulos do tipo "Aqui está a sua fatura de álcool em gel". Outra prática é a criação de sites falsos. Um exemplo é gerar uma página com uma suposta "consulta de CPF". Nesse caso, os resultados da "consulta" são enviados para o usuário como um arquivo a ser baixado -na verdade, o vírus. Para se espalhar, o serviço falso aparece em anúncios online.
Por isso, a recomendação é sempre ter cuidado com emails e nunca fazer download de fontes não confiáveis. Para evitar esses ataques mais elaborados, aponta Marques, é importante ter um antivírus no computador. "Não é mais como aquele vírus de antigamente que fazia uma página falsa do banco. Esse fica totalmente oculto no sistema e o usuário comum dificilmente vai conseguir identificar", diz.
Segundo a Kaspersky, as informações coletadas sobre as atividades criminosas foram repassadas às autoridades.
Associação internacional Para atacar usuários em outros países, esses cibercriminosos recrutam hackers locais para operar o esquema. Essa ligação tem sido comum envolvendo grupos brasileiros. Uma das formas usadas para se encontrar é por meio de fóruns online -e nem sempre é muito escondido. Em sites onde cibercriminosos normalmente se reúnem, e até mesmo em alguns voltados a um público mais amplo, eles divulgam a intenção de mirar um país específico e potenciais associados entram em contato.
De acordo com Marques, a diferença é que os malwares desse grupo que circulam no Brasil são mais avançados, como se no exterior fossem usadas versões mais antigas. "Dá a entender que, por aqui, talvez os bancos já estejam mais maduros com esse tipo de ataque e os atacantes precisam burlar as seguranças existentes", analisa.