A Kaspersky divulgou nesta terça-feira (29) dados sobre o panorama das ameaças digitais na América Latina nestes nove primeiros meses de 2020. A empresa registrou mais de 20,5 milhões de ataques a usuários domésticos e mais de 37 milhões de ataques a usuários corporativos. E segundo a empresa, mais de 66% dos ataques corporativos tem um único objetivo: dinheiro.

Entre estes números, um dado chamou a atenção: uma mudança de comportamento em uma família de malwares chamada Tétrade, composta por quatro ameaças conhecidas como Guildma, Melcoz, Javali e Grandoreiro. Ela é conhecida dos pesquisadores desde 2015, mas neste ano cresceu e ganhou novos alvos.

Todos os membros são trojans bancários sofisticados, parte de uma categoria de malwares chamada de RAT (Remote Acess Tool), que permite que um invasor assuma remotamente o controle total de um sistema infectado. Atualmente elas se espalham usando o “tema da vez”, mensagens de e-mail relacionadas à pandemia.

Reprodução

Software da Kaspersky avisa que um smartphone está infectado com o Guildma, que se passa por um leitor de PDFs. Imagem: Kaspersky

Segundo Fábio Assolini, Pesquisador Sênior em Segurança da Kaspersky, os hackers brasileiros se movem como “uma nuvem de gafanhotos”, avançando vorazmente sobre sistemas vulneráveis. Apenas um “mailpot”, servidor de e-mail configurado para funcionar como isca para atrair malware, recebeu mais de 1,8 milhão de mensagens maliciosas em uma semana.

Nestas mensagens foi detectada uma mudança de comportamento do Guildma. Anteriormente ele visava apenas os PCs, mas mensagens recentes trazem um link que entrega um malware “sob medida” para a plataforma do usuário: se ele estiver usando um PC, receberá um arquivo executável do Windows (.exe). Mas se estiver em um smartphone Android, receberá um arquivo .apk para instalação de um aplicativo.

O “aplicativo” se disfarça como um leitor de arquivos PDF, e uma vez instalado usa uma série de técnicas para se “esconder” do usuário e dificultar sua remoção, que na prática só pode ser feita com um antivírus.

A família cresce

Esta variante do Guildma por enquanto só foi encontrada no Brasil, mas os hackers estão de olho em novos territórios. A Kaspersky informa que a Tétrade ganhou um quinto membro, chamado Amavaldo, que tem como alvo usuários no México. Com isso, a família foi rebatizada como Pentaedro.

Assim como seus irmãos, o Amavaldo se espalha através de e-mails maliciosos, mas usa temas “tipicamente mexicanos”, se passando por mensagens de correios e bancos locais. Uma vez instalado, usa túneis SSH para se conectar aos servidores de comando e controle, numa tentativa de burlar firewalls e bloqueios corporativos.

Alguns detalhes deixam claro que o Amavaldo é obra de brasileiros. Entre eles alguns casos de “portunhol” nos textos, como o uso da palavra “financeiro” em vez de “financiero” em alguns links, e scripts de comando com listas de máquinas infectadas identificadas como “cabrons”, “portuga” e “BRBRBR”.

Reprodução

Mensagem do malware Amavaldo, que visa usuários no México. Foto: Kaspersky

Segundo a Kaspersky, em 2020 foram detectados mais de 3 mil ataques do Amavaldo no Mexico. A empresa espera que outras famílias de malware brasileiro se expandam para a América Latina e passem a visar também sistemas móveis.

Um fator que facilita a expansão dos ataques é o fato de que bancos que atuam no Brasil também atuam na América Latina. Os criminosos usam um ecossistema de “sócios” locais para ajudar a sacar e movimentar o dinheiro das vítimas.

Às empresas, cabe acompanhar de perto a movimentação destas ameaças, melhorar seus processos de autenticação e investir em tecnologias antimalware e antifraude, antes que um descuido faça com que se tornem parte das estatísticas.