SÃO PAULO, SP (FOLHAPRESS) – Um conjunto de malwares (programas maliciosos) brasileiros que visam roubar informações financeiras em pelo menos 11 países foi revelado pela Kaspersky Lab nesta terça-feira (14). Segundo a empresa de segurança digital, esses programas marcam uma tendência de cibercriminosos do país de passar a atacar também no exterior.

Eles estão na ativa pelo menos desde 2015 e continuam a infectar máquinas, com aproximadamente 3,5 mil ataques detectados pela Kaspersky em seus clientes desde que a empresa passou a monitorar essas ameaças, no fim do ano passado. O número pode ser maior, pois algumas ofensivas podem não ter sido identificadas, ou barradas por outras empresas de cibersegurança.

Os ataques confirmados aconteceram no Brasil, México, Portugal, Espanha e Chile. Além desses alvos, especialistas apontam que esses malwares estão prontos para funcionar nos Estados Unidos, na China e em quatro outros países da América do Sul.

Os programas maliciosos são denominados “Guildma”, “Javali”, “Melcoz” e “Grandoreiro” e atuam de forma independente, operados por diferentes grupos criminosos.Todos são do tipo trojan (cavalo de troia): ficam escondidos e desempenham as funções maliciosas na hora certa. No caso, se manifestam para roubar dados de acesso bancário quando o usuário entra no internet banking pelo computador, tudo de forma invisível.

“Em algumas campanhas pegam também outras senhas e capturam dados de bitcoin”, alerta Thiago Marques, pesquisador da Kaspersky.

De acordo com Marques, os quatro apresentam certo grau de sofisticação e usam técnicas avançadas para se esconderem. O Guildma é o mais arrojado, pois usa um sistema que passa por Facebook e YouTube a fim de se comunicar com os criminosos.

Para funcionar, malwares desse tipo precisam se conectar a um servidor (um computador remoto) por meio da internet. É dele que recebem as informações de como operar e é para ele que enviam os dados roubados.

Essa máquina possui um endereço na internet -da mesma forma que um site possui um endereço “www…”. Normalmente, essas direções estão escritas dentro do código do próprio vírus. Aí, uma vez que o malware é descoberto por especialistas, basta tirar do ar o servidor com o qual ele se comunicava para neutralizar a ameaça.

No caso do Guildma, os criminosos escondiam essa informação dentro de posts criptografados no Facebook e no YouTube. O vírus acessa esses sites e lá descobre o endereço do servidor. Caso ele seja tirado do ar, os atacantes podem simplesmente editar a postagem com novas direções.

Práticas parecidas foram vistas nos outros malwares brasileiros, mas eles optaram por abordagens um pouco mais comuns na praça. Javali e Melcoz se ligam a um documento no Google Docs. Grandoreiro cria sites especificamente para isso.

Para se espalhar, esses vírus usam técnicas manjadas. A principal delas é por email. Mensagens são disparadas aos montes e tentam fazer o usuário baixar um arquivo infectado (em anexo ou em um link dentro da mensagem).

Golpes online tendem a se manter atualizados com os temas que estão despertando interesse nas pessoas, e procuram se aproveitar disso. Portanto, no meio da pandemia de coronavírus, podem aparecer títulos do tipo “Aqui está a sua fatura de álcool em gel”.

Outra prática é a criação de sites falsos. Um exemplo é gerar uma página com uma suposta “consulta de CPF”. Nesse caso, os resultados da “consulta” são enviados para o usuário como um arquivo a ser baixado -na verdade, o vírus. Para se espalhar, o serviço falso aparece em anúncios online.

Por isso, a recomendação é sempre ter cuidado com emails e nunca fazer download de fontes não confiáveis. Para evitar esses ataques mais elaborados, aponta Marques, é importante ter um antivírus no computador.

“Não é mais como aquele vírus de antigamente que fazia uma página falsa do banco. Esse fica totalmente oculto no sistema e o usuário comum dificilmente vai conseguir identificar”, diz.Segundo a Kaspersky, as informações coletadas sobre as atividades criminosas foram repassadas às autoridades.

Associação internacional Para atacar usuários em outros países, esses cibercriminosos recrutam hackers locais para operar o esquema. Essa ligação tem sido comum envolvendo grupos brasileiros.

Uma das formas usadas para se encontrar é por meio de fóruns online -e nem sempre é muito escondido. Em sites onde cibercriminosos normalmente se reúnem, e até mesmo em alguns voltados a um público mais amplo, eles divulgam a intenção de mirar um país específico e potenciais associados entram em contato.

De acordo com Marques, a diferença é que os malwares desse grupo que circulam no Brasil são mais avançados, como se no exterior fossem usadas versões mais antigas. “Dá a entender que, por aqui, talvez os bancos já estejam mais maduros com esse tipo de ataque e os atacantes precisam burlar as seguranças existentes”, analisa.