No início deste ano mais de 30 instituições financeiras de Portugal foram vítimas de ciberataques partindo do Brasil. Quem chegou a esta conclusão foi o centro de pesquisas digitais SentinelLabs.

Essa organização afirma que o planejamento de uso desses malwares em instituições financeiras do país europeu começou em 2021. Porém, os primeiros usos efetivos aconteceram já em 2023.

Esse último desenvolvimento da operação criminosa ficou conhecido pela SentinelLabs como Operação Magalenha. Diferente dos estágios anteriores observados nas ações dos últimos três anos, que tinham por alvo principalmente vítimas que utilizavam sistemas de nuvem como DigitalOcean e Dropbox, a Operação Magalenha foca especificamente no servidor russo TimeWeb como base.

Motivação

De acordo com os pesquisadores envolvidos na questão, Aleksandar Milenkoski e Tom Hegel, o principal objetivo dos agentes cibercriminosos brasileiros era a extração de informações sensíveis e dados sigilosos.

As instituições vitimadas em Portugal incluíam tanto órgãos governamentais quanto alvos privados. Uma vez instaladas, as células de malware passam a monitorar as atividades do computador da vítima através do programa PeepingTitle.

No momento em que o usuário acessasse o site da instituição financeira a qual interessava ao grupo, o programa faria uma coleta de dados backdoor e extrairia screenshots e dados sensíveis para um servidor remoto externo.

Assim, além de potenciais ganhos financeiros diretos, os malwares dariam acesso a outros possíveis meios de extorsão criminosa usando as informações pessoais das vítimas.

Segurança online

Além de Portugal, o grupo brasileiro tem feito ataques a países de língua espanhola também, especialmente México, Bolívia e Peru.

Uma tática de defesa contra esse tipo de estratégia hacker está relacionada diretamente com a chamada Cyber Threat Intelligence (Inteligência de Ameaças Cibernéticas), incluindo aí uso de VPNs não apenas como medida de mudança virtual na geolocalização do usuário, mas como medida de segurança extra, por conta dos seus recursos de ampliação de privacidade.

Estudos de cibersegurança mostram que esse histórico do Brasil como epicentro hacker (em conluio com organizações de outros países, especialmente da Europa Oriental) gerou, entre outros, uma série de malwares de categoria Trojan que ficou conhecida como Tetrade.

Os trojans da Tetrade têm aparecido com frequência em ataques a instituições financeiras, que começam em geral com phishing via e-mail ou por websites emulando endereços de download de softwares populares.

Brasil se tornou núcleo hacker internacional

De acordo com os pesquisadores, é possível concluir que o grupo responsável é o de cibercriminosos brasileiros. Para isso, levaram em conta o uso nítido de certos padrões já observados anteriormente e a similaridade nas TTPs (sigla em inglês para Táticas, Técnicas e Procedimentos do Atacante) entre esses ataques e outros.

Além disso, há o uso do português brasileiro. Presente tanto na parte estrutural quanto nas configurações do malware em si, o idioma serve como indício claro da nacionalidade dos infratores digitais.

Pesquisadores têm observado um desenvolvimento no underground hacker brasileiro há pelo menos uma década. A principal característica delineada nele é “sua capacidade permanente de atualizar táticas e malwares, o que os permite ser sempre efetivos nas suas campanhas de ataque”, conforme descrevem Milenkoski e Hegel no seu estudo.

 

ARTIGOS RELACIONADOSMais do autor