⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A América Latina e a Europa tornam-se alvo de duas campanhas de trojans bancários projetadas para infectar dispositivos Windows e Android com malware Grandoreiro e BTMOB, respectivamente.
Isso está de acordo com novas descobertas da WatchGuard e ESET, que observaram as duas famílias de malware sendo usadas para destacar empresas na Espanha, Portugal e México, bem como usuários móveis no Brasil.
A campanha do Grandoreiro “usa a técnica DLL Side-Loading, abusando de quatro softwares diferentes, visando bancos em Portugal”, disse o pesquisador da WatchGuard, Euler Neto.
Ativo desde 2016, o Grandoreiro é um malware bancário em constante evolução, capaz de roubar credenciais associadas a milhares de instituições financeiras em 45 países e territórios. Normalmente é distribuído por e-mails de phishing, instruindo os destinatários a clicar em links incompletos.
Apesar de algumas detenções e tentativas por parte das autoridades brasileiras de desmantelar a sua infraestrutura no início de 2024, o malware continuou a expandir a sua pegada, ao mesmo tempo que incorporava verificações CAPTCHA para resistir à análise.
Descobriu-se que a última campanha sinalizada pela WatchGuard aproveita o carregamento lateral de DLL para lançar DLLs desenvolvidas em Delphi 11, uma linguagem de programação comumente usada para malware direcionado à região. Descobriu-se que duas das DLLs - mingwm10.dll e libwebp.dll - incorporam sgcWebSockets, um WebSocket e uma biblioteca de comunicação em tempo real, para comunicações peer-to-peer (P2P) e WebRTC.
“As DLLs associadas a este caso usam o protocolo Session Traversal Utilities for NAT (STUN), que é um protocolo que ajuda os dispositivos atrás de um NAT a descobrir seu endereço IP público e número de porta, permitindo a comunicação ponto a ponto”, explicou WatchGuard.
“A vantagem para os agentes de ameaças usarem o tráfego de webconferência em suas campanhas se deve ao fato de esse tráfego ser barulhento, ser difícil de monitorar e ao fato de o WebRTC ser comumente usado em todas as principais plataformas de webconferência.”
Duas outras DLLs associadas à campanha são libffi-6.dll e libpng15.dll, que usam o protocolo Interactive Connectivity Establishment (ICE) em vez de STUN para atingir o mesmo objetivo. Estes ficheiros fazem referência especificamente a bancos e instituições financeiras que operam em Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depósitos e Santander, entre outros. Também são alvos Revolut e Wise.
A WatchGuard também disse que identificou outra campanha em que e-mails de phishing são usados para entregar um arquivo ZIP hospedado no Mediafire. O arquivo contém um script Visual Basic ofuscado que é responsável por iniciar um executável, que exibe uma mensagem solicitando aos usuários que atualizem o Adobe Reader clicando em um botão incorporado no alerta.
Isso desencadeia uma série de verificações destinadas a evitar a detecção e complicar a análise de malware, antes de lançar a carga final para roubar informações bancárias e dados confidenciais. Algumas das táticas se sobrepõem a uma campanha anterior do Grandoreiro detalhada pela Kaspersky em outubro de 2024.
“A grande história aqui não é apenas que Grandoreiro ainda está ativo”, disse WatchGuard. “É que os grupos de ameaças motivados financeiramente continuam a adaptar-se rapidamente, a reutilizar serviços legítimos e a esconder-se dentro de padrões de tráfego nos quais muitas organizações já podem confiar”.
“Ao combinar phishing, carregamento lateral de DLL, componentes relacionados ao WebRTC, abuso de serviço em nuvem e verificações anti-análise, essas campanhas mostram como o malware bancário está se tornando mais difícil de detectar apenas com defesas de nível superficial.”
BTMOB oferece ferramentas de campanha prontas
A divulgação coincide com um relatório da ESET sobre BTMOB, um trojan de acesso remoto (RAT) Android que surgiu pela primeira vez em fevereiro de 2025 com recursos para desbloquear dispositivos, capturar capturas de tela, registrar pressionamentos de teclas, automatizar o roubo de credenciais por meio de injeções de HTML quando determinados aplicativos são abertos e ativar o controle remoto. Uma iteração subsequente introduziu a capacidade de capturar PINs Alipay.
“O RAT também é vendido com uma interface de construção de APK, permitindo que qualquer pessoa gere novas cargas e adapte iscas de phishing para regiões específicas rapidamente – e sem escrever nenhum código”, disse Daniel Cunha Barbosa, pesquisador da ESET.
Essas ferramentas prontas reduzem ainda mais o tempo e o esforço necessários para comprometer totalmente o dispositivo. O principal método pelo qual o malware se espalha é por meio de engenharia social, onde os usuários recebem links para sites falsos disfarçados de serviços de streaming ou plataformas de mineração de criptomoedas.
A partir desses sites, as vítimas são direcionadas para listagens falsas de aplicativos da Google Play Store que as induzem a instalar um arquivo de pacote Android (APK) contendo o malware. Uma vez instalado, o malware busca permissões para usar os serviços de acessibilidade do Android e, em seguida, aproveita-os para conceder acesso adicional ao sistema sem qualquer interação do usuário.
Isso está de acordo com novas descobertas da WatchGuard e ESET, que observaram as duas famílias de malware sendo usadas para destacar empresas na Espanha, Portugal e México, bem como usuários móveis no Brasil.
A campanha do Grandoreiro “usa a técnica DLL Side-Loading, abusando de quatro softwares diferentes, visando bancos em Portugal”, disse o pesquisador da WatchGuard, Euler Neto.
Ativo desde 2016, o Grandoreiro é um malware bancário em constante evolução, capaz de roubar credenciais associadas a milhares de instituições financeiras em 45 países e territórios. Normalmente é distribuído por e-mails de phishing, instruindo os destinatários a clicar em links incompletos.
Apesar de algumas detenções e tentativas por parte das autoridades brasileiras de desmantelar a sua infraestrutura no início de 2024, o malware continuou a expandir a sua pegada, ao mesmo tempo que incorporava verificações CAPTCHA para resistir à análise.
Descobriu-se que a última campanha sinalizada pela WatchGuard aproveita o carregamento lateral de DLL para lançar DLLs desenvolvidas em Delphi 11, uma linguagem de programação comumente usada para malware direcionado à região. Descobriu-se que duas das DLLs - mingwm10.dll e libwebp.dll - incorporam sgcWebSockets, um WebSocket e uma biblioteca de comunicação em tempo real, para comunicações peer-to-peer (P2P) e WebRTC.
“As DLLs associadas a este caso usam o protocolo Session Traversal Utilities for NAT (STUN), que é um protocolo que ajuda os dispositivos atrás de um NAT a descobrir seu endereço IP público e número de porta, permitindo a comunicação ponto a ponto”, explicou WatchGuard.
“A vantagem para os agentes de ameaças usarem o tráfego de webconferência em suas campanhas se deve ao fato de esse tráfego ser barulhento, ser difícil de monitorar e ao fato de o WebRTC ser comumente usado em todas as principais plataformas de webconferência.”
Duas outras DLLs associadas à campanha são libffi-6.dll e libpng15.dll, que usam o protocolo Interactive Connectivity Establishment (ICE) em vez de STUN para atingir o mesmo objetivo. Estes ficheiros fazem referência especificamente a bancos e instituições financeiras que operam em Portugal, como Abanca, Banco de Portugal, BBVA PT, Caixa Geral Depósitos e Santander, entre outros. Também são alvos Revolut e Wise.
A WatchGuard também disse que identificou outra campanha em que e-mails de phishing são usados para entregar um arquivo ZIP hospedado no Mediafire. O arquivo contém um script Visual Basic ofuscado que é responsável por iniciar um executável, que exibe uma mensagem solicitando aos usuários que atualizem o Adobe Reader clicando em um botão incorporado no alerta.
Isso desencadeia uma série de verificações destinadas a evitar a detecção e complicar a análise de malware, antes de lançar a carga final para roubar informações bancárias e dados confidenciais. Algumas das táticas se sobrepõem a uma campanha anterior do Grandoreiro detalhada pela Kaspersky em outubro de 2024.
“A grande história aqui não é apenas que Grandoreiro ainda está ativo”, disse WatchGuard. “É que os grupos de ameaças motivados financeiramente continuam a adaptar-se rapidamente, a reutilizar serviços legítimos e a esconder-se dentro de padrões de tráfego nos quais muitas organizações já podem confiar”.
“Ao combinar phishing, carregamento lateral de DLL, componentes relacionados ao WebRTC, abuso de serviço em nuvem e verificações anti-análise, essas campanhas mostram como o malware bancário está se tornando mais difícil de detectar apenas com defesas de nível superficial.”
BTMOB oferece ferramentas de campanha prontas
A divulgação coincide com um relatório da ESET sobre BTMOB, um trojan de acesso remoto (RAT) Android que surgiu pela primeira vez em fevereiro de 2025 com recursos para desbloquear dispositivos, capturar capturas de tela, registrar pressionamentos de teclas, automatizar o roubo de credenciais por meio de injeções de HTML quando determinados aplicativos são abertos e ativar o controle remoto. Uma iteração subsequente introduziu a capacidade de capturar PINs Alipay.
“O RAT também é vendido com uma interface de construção de APK, permitindo que qualquer pessoa gere novas cargas e adapte iscas de phishing para regiões específicas rapidamente – e sem escrever nenhum código”, disse Daniel Cunha Barbosa, pesquisador da ESET.
Essas ferramentas prontas reduzem ainda mais o tempo e o esforço necessários para comprometer totalmente o dispositivo. O principal método pelo qual o malware se espalha é por meio de engenharia social, onde os usuários recebem links para sites falsos disfarçados de serviços de streaming ou plataformas de mineração de criptomoedas.
A partir desses sites, as vítimas são direcionadas para listagens falsas de aplicativos da Google Play Store que as induzem a instalar um arquivo de pacote Android (APK) contendo o malware. Uma vez instalado, o malware busca permissões para usar os serviços de acessibilidade do Android e, em seguida, aproveita-os para conceder acesso adicional ao sistema sem qualquer interação do usuário.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanhas #grandoreiro #malware #e #btmob #rat #têm #como #alvo #usuários #de #windows #e #android
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário