Criminosos brasileiros criaram e exportaram um vírus que desvia transferências em mais de 60 bancos. A fraude virtual passava despercebida até o início deste ano, segundo a equipe de pesquisa do antivírus Kaspersky.
O programa invasor (malware), chamado de Coyote, é distribuído por email e simula um pacote de atualização do Windows, chamado de Squirrel, acionado quando o arquivo enviado na mensagem é aberto.
O ataque visa computadores pessoais usados em empresas e repartições públicas. É o que os técnicos chamam de trojan bancário —em referência ao cavalo de troia usado pelos gregos para ultrapassar as muralhas inimigas.
O vírus usa uma estratégia de instalação por fases que dificulta a detecção por parte dos antivírus. Além disso, usa a linguagem de programação nim, vista pela primeira vez em um trojan. “Isso tudo ajuda a furar as defesas do sistema da vítima”, diz o diretor da equipe de pesquisa na América Latina da Kaspersky, Fabio Assolini.
A linguagem nim vista no Coyote já havia sido registrada em ransomwares e é capaz de operar em diferentes dispositivos com diversos sistemas operacionais —Windows, iOS, Android ou Linux, por exemplo. É o que especialistas chamam de multimodal.
Os desenvolvedores implementaram técnicas inéditas na criação do Coyote, o que fez desse vírus uma descoberta relevante em nível internacional, segundo a Kaspersky.
Depois de instalado, o vírus monitora a atividade da vítima em sites bancários. O programa é capaz de capturar as letras tecladas pelo usuário, de mover o mouse e de configurar uma página falsa para roubar dados.
Após roubar as informações bancárias, os criminosos podem realizar operações financeiras e desfalcar a conta de seus alvos ou executar compras no cartão de crédito.
Para realizar a fraude sem que o dono do computador perceba, o Coyote bloqueia a tela da vítima e emite um comunicado falso de atualização do Windows. Sob a imagem falsa, ocorrem as transferências ilegais.
A única solução para evitar o Coyote é desconfiar de emails de remetentes desconhecidos ou estranhos. Uma dica é conferir se o servidor (@empresa.com) confere com o site original. Outra é ter versões atuais de antivírus instaladas.
Cerca de 90% das detecções do novo vírus ocorreram no Brasil, segundo a Kaspersky. Embora tenha origem local, o programa invasor já foi detectado em outros países da América Latina.
Os cibercriminosos brasileiros são referência global na programação de trojans bancários e os exportam. Há registros de vírus nacionais até na Austrália.
Só a Kaspersky registrou mais de 18 milhões de ataques por trojan bancários em 2023, quase o dobro do que era registrado em 2020.
No resto do mundo, esse tipo de ataque tem perdido espaço ante a popularização de ransomwares, ataques que sequestram bancos de dados de grandes empresas para pedir altos resgates para devolver as informações.
O sequestro de sistemas empresariais exige alto investimento de tempo e recursos humanos.
Os criminosos brasileiros, no geral, preferem se dedicar a ataques contra pessoas físicas em larga escala pela maior facilidade técnica, segundo Assolini, da Kaspersky.
A adoção dessas linguagens recentes, como a nim, abre caminho para aumentar a chance de infecção de celulares por vírus. Isso, além de dificultar o trabalho de especialistas em cibersegurança, deve desafiar as defesas dos apps bancários —atual preferência nacional para realização de transações financeiras, segundo dados da Febraban (Federação Brasileira de Bancos).
Os criminosos, contudo, continuam a mirar computadores pessoais, já que essas máquinas são usadas em transações financeiras de pessoas jurídicas.
“Empresas e órgãos públicos movimentam quantidades maiores de dinheiro, o que aumenta os ganhos dos cibercriminosos”, diz Assolini.
Fonte: Folha de S. Paulo
www.contec.org.br