Vírus bancário criado no Brasil atinge sete países da América Latina

Uma campanha maliciosa que aparenta ser operada do Brasil já atingiu pelo menos sete países da América Latina com um vírus que rouba e-mails e credenciais bancárias. O cavalo de Tróia Horabot está circulando desde novembro de 2020 e tem foco amplo, podendo atingir desde usuários finais até empresas de variadas verticais.

• 5 dicas para proteger o seu e-mail de ações maliciosas
• Saiba quais são as marcas mais imitadas em ataques de phishing

De acordo com análise da empresa de segurança Cisco Talos, são dois os alvos dos ataques, que chegam por e-mails fraudulentos. Em primeiro lugar estão os bancos, com o vírus sendo capaz de furtar credenciais de acesso a contas e serviços financeiros, bem como dados digitados, tokens e até códigos de verificação em duas etapas, assim como informações do dispositivo usado e sistema operacional para quer a fraude se complete do lado dos criminosos.

Na sequência vem o comprometimento da caixa de entrada do Outlook, o que evidencia o foco corporativo do Horabot. Contatos e endereços de comunicações recentes são furtados para disseminação da campanha maliciosa, que também usa o próprio endereço da vítima para propagar o vírus, a partir de falsas mensagens comerciais com anexos maliciosos.

Com foco no Windows, o ataque do Horabot envolve múltiplos estágios, com o uso de PowerShell para download do vírus e o carregamento de DLLs que o ativam. Tudo começa, porém, com um e-mail relacionado a questões tributárias, com poucas palavras e sem nenhuma sofisticação — o uso de conversas em andamento serve para aumentar a legitimidade do golpe e tentar induzir à abertura de um arquivo HTML anexado.

Uma vez instalado na máquina, o malware tenta evitar a detecção por plataformas de segurança enquanto busca a caixa de entrada e informações desejadas, enviando tudo a um servidor sob o comando dos bandidos. A Cisco Talos chama a atenção para o uso de infraestruturas reconhecidas, como os serviços de nuvem da Amazon, para disponibilização do vírus e recebimento das informações, também servindo como forma de evitar suspeitas por sua legitimidade.

Do Brasil para os países vizinhos

Segundo os especialistas da Cisco Talos, a disseminação parece ter poucos alvos definidos. O México, por exemplo, é o foco preferencial, já que os e-mails falam em tributos do país enquanto domínios relacionados ao Horabot também simulam instituições fiscais de lá. Há, porém, um alcance maior no envio de mensagens, focadas em usuários falantes do espanhol em toda a América Latina.

Os especialistas detectaram contaminações também no Uruguai, Venezuela, Argentina, Panamá e Guatemala, além do próprio Brasil. A operação também foi associada ao nosso país devido ao uso da linguagem Delphi no desenvolvimento do malware — uma preferência entre os cibercriminosos daqui — e também pelo fato de domínios relacionados ao Horabot também terem sido registrados a partir de IPs nacionais.

A atenção aos e-mails é essencial para escapar de fraudes desse tipo. Sempre desconfie de mensagens com arquivos anexos, mesmo que elas venham de contatos conhecidos, e somente abra os arquivos caso tenha certeza da procedência. Ter antivírus e plataformas de segurança instaladas no PC também ajuda a flagrar golpes desse tipo.