Vírus brasileiros estão roubando senhas de clientes de bancos no exterior
Vírus brasileiro rouba logins e senhas de usuários de outros países.
Quatro trojans — um tipo de ciberameaça— desenvolvidos por cibercriminosos brasileiros para roubar clientes de bancos fez vítimas no México, Chile, Portugal e Espanha, além do Brasil. Identificado pela empresa de segurança russa Kaspersky, os malwares roubavam credenciais —isto é, logins e senhas— nos navegadores web ou na memória do computador para acessar contas pelo internet banking.
Nomeados de Guildma, Javali, Melcoz e Grandoreiro, os vírus apareceram sobretudo na América Latina e na Europa. Nos seus códigos, bancos com atuação na China e nos EUA são mencionados como potenciais alvos. De acordo com a Kaspersky, essas quatro "famílias" consolidaram o Brasil como exportador de malware.
Segundo a Kaspersky, os criadores brasileiros desses malwares bancários estão recrutando afiliados em outros países para "exportar" as ameaças para o mundo inteiro.
"Além disso, eles continuam inovando, adicionando novos artifícios e técnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos", diz Dmitry Bestuzhev, chefe da Equipe Pesquisa e Análise Global da Kaspersky na América Latina.
Segundo Fabio Assolini, analista de segurança sênior da Kaspersky, a "exportação" se deve ao fato de os bancos estrangeiros terem menos preocupação com segurança.
O fator determinante para identificar que os malwares são brasileiros é o fato de as infecções começarem aqui. Além disso, é possível saber a origem desses ataques pela similaridade dos códigos usados em seu desenvolvimento.
Atuação
De acordo com a Kaspersky, as famílias de malware são espalhadas por emails de phishing e usam técnicas avançadas para driblar os sistemas de defesa dos computadores dos clientes.
São disparados emails em massa notificando os clientes que existem problemas com a conta bancária ou com o cartão de crédito. Por exemplo, usuários receberam emails supostamente enviados pela Receita Federal.
Entre as técnicas usadas para driblar os sistemas de segurança, estão:
- Instalação criptografada: o arquivo inicial que o usuário baixa é bem pequeno, com um .zip dentro de outro. O arquivo final vai ter a extensão lnk, menor que um kilobyte. Quando executado, ele vai baixar outros arquivos para o computador. Um deles é o trojan, que é cifrado e passa batido pelo antivírus. Na sequência, esse trojan será descriptografado automaticamente e passa a atuar na máquina do usuário;
- Sequestro de DLL: O trojan baixa no computador um DLL (um tipo de arquivo de sistema). Depois de instalado, consegue injetar códigos dentro da memória dos demais DLLs do sistema, substituindo seus códigos seguros por outros maliciosos;
- LolBins: termo utilizado para infecções carregadas na memória RAM do computador. Essa atuação dificulta para que produtos de segurança detectem o vírus;
Segundo a Kaspersky, as quatro famílias de trojans têm um objetivo em comum: ativar um acesso remoto ao computador da vítima. Esse trojan vai coletar informações, senhas e monitorar os acessos dos usuários. Na hora que a vítima estiver acessando o internet banking, ele consegue travar a máquina e colocar a vítima em espera para roubar o dinheiro disponível na conta.
Como se proteger?
A Kaspersky não divulgou quais os bancos que tiveram clientes afetados, mas afirmou que em alguns países, cerca de 12 bancos foram alvos. Uma das facilidades encontradas nos ataques é o fato de os bancos não terem um sistema antifraude, com uma equipe de inteligência de ameaças gerida por empresas de segurança digital.
É muito importante que o cliente tenha ciência da existência desse tipo de trojan para ficar atento e não cair no golpe. "O usuário tem que se educar para saber que aquele email que recebeu não é do banco, dos Correios, da Receita. Com isso, ele sabe identificar que é falso e não acessa", alerta Assolini.
Além disso, o usuário comum precisa de bom antivírus no computador e seguir as orientações dos próprios bancos com relação à segurança.
