Vírus bancário brasileiro está fazendo vítimas em Portugal

Um vírus de origem brasileira está se disseminando em Portugal, de olho nas informações bancárias de cidadãos do país europeu. Chamada de Operação Magalenha, a campanha tem similaridades com outros esquemas cibercriminosos que já foram detectados por aqui, mas aparece agora com um foco exclusivo nos portugueses e variantes que mostram um trabalho ainda em desenvolvimento.

• No Brasil, um em cada três ataques usa malware para roubo de dados
• Por que o Brasil está infestado de malwares e exporta trojans bancários?

Na prática, é um malware financeiro que funciona de forma praticamente idêntica a outras ameaças contra o setor. A partir de links fraudulentos, e-mails de phishing e outros vetores, os usuários são induzidos a interagirem com arquivos e sites maliciosos, que por sua vez, executam um script Visual Basic que permite a implementação do backdoor PeepingTitle.

A porta de entrada, então, fica aberta, mas o vírus permanece dormente. Ele só “acorda” quando detecta um site de alguma das principais instituições bancárias portuguesas, passando a realizar capturas de tela e coletar informações digitadas pelos clientes. De acordo com os especialistas da SentinelOne, que emitiram o alerta, também há a possibilidade de download de novos módulos cibercriminosos.

Por enquanto, entretanto, o foco está mesmo nas credenciais. Além de instituições financeiras, a praga também fica de olho em acesso a empresas de energia e autoridades de coleta de impostos, também em busca de obter documentos e outros dados pessoais. As informações obtidas são enviadas a servidores sob o controle dos criminosos, mas a ausência de golpes financeiros nessa etapa da Operação Magalenha indica que essa pode ser apenas uma etapa inicial de um ataque maior.

Os especialistas da SentinelOne desconfiam do fornecimento de acesso inicial, com uma campanha de disseminação generalizada que deseja obter portas de entrada em corporações do país. Tais brechas, depois, seriam vendidas a terceiros interessados na realização de ataques, o que explicaria as capacidades ainda não utilizadas de download de mais opções ofensivas contra os sistemas infectados.

A continuidade no desenvolvimento também chama a atenção, com pelo menos duas variantes do PeepingTitle detectadas até o momento. A única diferença entre elas, entretanto, é o formato de captura de imagens: uma registra a tela inteira, enquanto a outra, somente a janela ativa. O detalhe contrasta com a ideia de esta ser uma operação coordenada e pode indicar que os criminosos responsáveis estão em etapa de experimentação.

Vírus "tipicamente brasileiro"

O uso do PeepingTitle, porém, faz sentido do ponto de vista dos pesquisadores da SentinelOne. Trata-se, para começar, de uma ameaça relativamente desconhecida no hemisfério norte, o que reduz a capacidade de detecção por agentes de segurança, enquanto sua programação em Delphi também é considerada incomum pelos especialistas de lá.

Essa, aliás, é considerada uma característica central pelo alerta emitido pela empresa, que cita a diversidade de malwares nacionais desenvolvimento nesta linguagem. A Delphi serve para diferentes fim e também não costuma ser comentada nos círculos de segurança da informação, o que faz com que os malwares brasileiros que a utilizam sejam uma alternativa interessante para quem quer passar despercebido.

O relatório da SentinelOne ainda traça similaridades entre o PeepingTitle e outra família de vírus nacional, a Maxtrilha. Ativa desde 2021, a campanha de contaminações também visa o sistema financeiro brasileiro, capaz também de baixar módulos adicionais de contaminação nos computadores das vítimas. Seus métodos de disseminação também são semelhantes, o que aumenta a relação entre os dois nomes.

Os números relacionados à Operação Magalenha são desconhecidos, mas trata-se de uma campanha que pode crescer. Caso a história do Maxtrilha se repita, estamos falando de centenas de instituições financeiras no Brasil e Europa como alvo, com mais de 500 ataques bem-sucedidos registrados somente em 2021, ano em que a praga foi descoberta.

Fonte: SentinelOne