Malware que rouba dados bancários tem foco exclusivo no Brasil

Os dados bancários de usuários brasileiros são o alvo preferencial do Astaroth, um “supervírus” revelado nesta semana pela Cisco Talos que trabalha com foco exclusivo no Brasil, usando o nome de empresas conhecidas e informações sobre o novo coronavírus para se propagar por e-mail. O alerta emitido pelo braço de cibersegurança da empresa de tecnologia chama a atenção para o ineditismo da campanha e para seu nível de sofisticação.

Em um primeiro olhar, o funcionamento parece trivial. Usando mensagens que chegam em nome de marcas como Localiza, ENEL, Receita Federal, empresas de cobrança e até o Ministério da Saúde, os hackers tentam induzir a vítima a clicar em links maliciosos, acessar páginas comprometidas e instalar o malware. É aí, entretanto, que começa a segunda parte do golpe, muito mais sofisticada e com potencial para se tornar mais do que uma simples campanha massiva de roubo de dados financeiros.

De acordo com o especialista da Cisco Security, Fernando Zamai, a infecção acontece em etapas, com o Astaroth possuindo diferentes maneiras de ser executado e de se esconder dos olhos do usuário e das verificações de softwares de segurança. “A riqueza e a sofisticação [do ataque] chamou nossa atenção. Os responsáveis pela praga gastaram tempo e recursos nessas técnicas de ofuscação”, afirma Zamai. Esse aspecto, aliado ao foco exclusivo em usuários do Brasil, são elementos únicos em campanhas dessa categoria.

A esse fator, o especialista dedica atenção especial. De acordo com ele, a disseminação do SARS-CoV-2 não apenas é usada como método de entrada, a partir de links supostamente informativos, como sua chegada levou muitos colaboradores a trabalharem de casa. “Sistemas de segurança que levariam meses para serem instalados tiveram de ser ativados em dias”, completa. O resultado, claro, é um caráter inadequado em relação a políticas de segurança, com funcionários trabalhando em computadores próprios e acessando redes internas sem os devidos protocolos existentes dentro das corporações.

Como em outras pragas desse tipo, o Astaroth utiliza servidores de comando e controle para receber as instruções necessárias e realizar a interceptação de dados. Entretanto, ao contrário do que normalmente acontece, os hackers optaram por links em serviços como o Google Drive ou códigos em descrições de canais no YouTube, além de domínios registrados especialmente para esse fim. São dezenas de opções, de forma que o bloqueio de algumas delas acabe não impedindo o funcionamento da praga.

• Marcus Hutchins, o homem que derrotou o WannaCry e foi preso pelo FBI
• Três anos depois, WannaCry permanece como ransomware mais ameaçador

O uso de plataformas consagradas também tem um motivo simples — serviços reconhecidos de cloud computing, como os do Google, costumam ser liberados nas redes internas das empresas, enquanto nas conexões domésticas, o YouTube é figurinha carimbada. Além disso, de acordo com o especialista, essa presença em plataformas fortes impede desligamentos como o do WannaCry, com um único registro de domínio pelo hacker Marcus Hutchins sendo capaz de encerrar uma infecção global.

Zamai comparou o Astaroth a uma superbactéria, com capacidade de se transformar e assumir diferentes facetas de acordo com as características de cada sistema. É isso que o torna tão perigoso e que levantou algumas dúvidas junto aos especialistas da Cisco. “O Astaroth segue o mesmo padrão de malwares avançados, mas é disseminado em massa e de forma descontrolada. Pode ser o anúncio de algo maior”, afirma.

O vírus que fala nossa língua

Apesar de ser citada como uma campanha ainda em etapa inicial, o relatório da Cisco Talos aponta para infecções que começaram em meados do ano passado, com os primeiros e-mails sendo enviados a usuários brasileiros. Desde então, foi notada uma rotina peculiar: antes de ser instalado, o Astaroth faz uma checagem do sistema operacional e apenas segue adiante com a infecção em plataformas que estejam rodando em português brasileiro, realizando as diferentes táticas de ofuscação de acordo com o panorama da segurança de cada dispositivo.

• Isolamento e home office levaram a aumento em ataques de ransomware no Brasil
• Google alerta para golpes ligados ao novo coronavírus; veja como se proteger
• Ação conjunta da Interpol combate crimes virtuais relacionados ao coronavírus

Apesar disso, Zamai diz não ser possível afirmar que o criador da praga é nosso conterrâneo. De acordo com ele, o foco em nosso país pode ser uma maneira de os hackers “sentirem a água” e disseminarem a praga antes de uma segunda fase de ataques, ou apenas uma forma de ocultarem suas próprias identidades, bem como alinhamentos com governos estrangeiros. A sofisticação do malware, novamente, aponta para um grupo bem financiado e habilidoso, e a ideia de que existam cunhos políticos por trás da infecção sempre surge ao lado de tais aspectos.

O especialista também aponta outro aspecto que torna viável a criação de um vírus tão sofisticado, mas focado no Brasil. “[Nosso país] é um dos que mais usa tecnologia no mundo, mas também é um dos que menos investe em segurança digital. Essa combinação nos torna um alvo muito interessante para campanhas desse tipo”, explica.

Apesar de já estar rodando há meses, o Astaroth parece ainda não ter atingido seu pico e, em gráficos demonstrados à reportagem do Canaltech, a Cisco registra poucas ativações e alcance, além de domínios de controle registrados apenas recentemente. Isso é bom, de acordo com a empresa de segurança, já que uma descoberta precoce da campanha pode minimizar seu alance, principalmente entre clientes corporativos que utilizem soluções avançadas de segurança digital.

Entretanto, Zamai aponta para outro lado dessa descoberta antecipada, que poderia levar a uma aceleração de possíveis etapas seguintes da campanha, ainda desconhecidas. “Com a disseminação em massa, os responsáveis podem estar tentando recuperar o investimento feito neste malware. A divulgação ajuda na proteção de quem estiver com as soluções atualizadas, mas a sofisticação gera muita preocupação sobre o que pode vir a seguir.”

No momento, por exemplo, o foco são usuários finais de diferentes empresas e serviços, sem nenhum tipo de direcionamento. Entretanto, isso pode mudar a qualquer momento, com a análise da Cisco Talos indicando estarmos diante de um malware ainda em pleno desenvolvimento. Em futuras mutações, os hackers podem usar seus servidores de comando e controle para lançarem golpes direcionados ou até mesmo modificarem seu foco, ativando versões dormentes do Astaroth em sistemas que não estejam em português brasileiro. E estes são apenas dois exemplos possíveis.

Aos usuários comuns, a maior recomendação é desconfiar de links que cheguem por e-mail, mesmo que as mensagens pareçam legítimas. O ideal é não clicar nem realizar downloads a partir de comunicações desse tipo e, caso acredite que uma cobrança ou solicitação seja real, buscar os sites oficiais ou centrais de atendimento das empresas por meios próprios.

Além disso, vale a pena manter soluções de segurança sempre ativas e atualizadas, assim como os sistemas operacionais. Aos administradores de rede, a Cisco Talos também oferece listas com domínios registrados pelos responsáveis pela campanha, hashes e demais informações de comprometimento.

Fonte: Cisco Brasil, Cisco Talos Intelligence