Un nuevo troyano chamado Maxtrilha mira roubar informações financeiras em um total de 39 bancos na Europa e América Latina. Entre as empresas na relação de alvos do vírus, há pelo menos três brasileiros: Caixa Econômica Federal, Bradesco e BBVA.

Na ativa desde o início de setembro, o el malware possui cerca de 500 ataques identificados na Europa e na América Latina. Como um trojan clássico, ele fica escondido na máquina da vítima e, a partir do momento em que o usuário entra no internet banking pelo computador, tenta roubar dados de acesso bancário.

publicidad

“O objetivo é o roubo de credenciais de acessos, como na maioria dos trojans da América Latina”, explica Pedro Tavares, pesquisador da Universidade da Beira Interior, em Covilhã, Portugal, e responsável pela identificação do Maxtrilha, ao Olhar Digital.

“Na verdade, parece ser o modus operandi utilizado em outros trojans e provavelmente poderá existir a troca de códigos ou a comercialização entre grupos. Os trojans Javali e Ursa são uma prova disso: infectam as vítimas de forma diferente, com o objetivo de saltar a detecção dos antivírus, mas o processo de recolha de dados e lançamento de popups bancários é muito similar ao do Maxtrilha”, acrescenta.

Leia mais:

Este tipo de malware utiliza um servidor (um computador remoto) para triangular dados de usuários e é por ele que os cibercriminosos trafegam as informações roubadas.

No caso do Maxtrilha, trata-se de um domínio “.com” chamado “webcindario”, que vem sendo utilizado, segundo Tavares, por diversos grupos no Brasil nos últimos anos para disseminar campanhas de phishing. Além do Brasil, outros países afetados pelo Maxtrilha incluem Reino Unido, México, Espanha, Portugal, Uruguai e Irlanda.

Stringcode de bancos afetados pelo vírus Maxtrilha
Bancos impactados pelo trojan Maxtrilha incluem Caixa, Bradesco e BBVA — codificados respectivamente como “internetbanking”, “acessoempresasbanca” e “bancomer” (Créditos: Pedro Tavares/seguranca-informatica.pt)

Cómo funciona

De acordo com Tavares, o vírus que ataca bancos brasileiros se dissemina em três estágios. No início, os criminosos abrem uma campanha de phishing padrão, passando-se por uma entidade específica para pagamento ou regularização de débitos.

Em seguida, liberam o primeiro binário executável, que usa o mesmo template do banco em questão para atrair as vítimas. Nisso, as configurações de segurança do Internet Explorer são desabilitadas e são aceitas extensões para facilitar o download da fase seguinte.

Janela de desligamento do Maxtrilha
Possível “kill switch” (janela de desligamento) do Maxtrilha (Crédito: Pedro Tavares/seguranca-informatica.pt)

Neste segundo estágio, entra em ação o vírus propriamente dito. O Maxtrilha, diz Tavares, cria persistência na máquina da vítima e é executado todas as vezes em que o computador é iniciado. Entre as funções maliciosas que desempenha, estão a varredura de e-mails e o monitoramento da atividade do usuário.

“Quando o trojan detecta que o usuário abre o navegador em um dos serviços de homebanking listados na imagem, ele comunica com um servidor [na Rússia] e os criminosos começam a controlar a máquina, filtrando informações, criando janelas de popup fake para obter credenciais e, mesmo, instalar malwares adicionais”, analisa Tavares, que também capitaneia o blog “Segurança Informática”.

Ciclo de operação do trojan Maxtrilha
Ciclo de operação do Maxtrilha (Crédito: Pedro Tavares/seguranca-informatica.pt)

Nos últimos anos, os malwares brasileiros têm se espalhado como uma “nuvem de gafanhotos” pela internet, segundo o pesquisador-sênior em segurança da Kaspersky, Fábio Assolini.

Somente nos primeiros nove meses de 2020, mais de 20,5 milhões de ataques foram registrados por vírus como Grandoreiro, Guildma e Javali — o mesmo supracitado por Tavares. O Brasil também é o quinto país com mais registros de ataques de hackers contra empresas, segundo levantamento recente da consultoria alemã Ronald Berger.

Crédito para imagem principal: Who is Danny/Shutterstock

¿Has visto nuestros nuevos videos en YouTube? ¡Suscríbase a nuestro canal!