Uma operação delicada da Polícia Civil da Espanha (Guardia Civil) prendeu 16 suspeitos membros de um grupo cibercriminoso que utiliza trojans bancários, supostamente desenvolvidos por cibercriminosos brasileiros (Mekotio e Grandoreiro) para furtar fundos de vítimas na Espanha.
- Sites do grupo cibercriminoso REvil misteriosamente ficam offline na dark web
- Ataque à cadeia de suprimentos da Kaseya comprometeu 1500 empresas; aqui está tudo o que precisa saber sobre o caso
- Grupo Fleury foi vítima do mesmo ransomware que infectou TJ-RS, Sol Oriens, JBS e Colonial Pipeline
Em um comunicado à imprensa, a polícia informa que chegou aos cibercriminosos após analisar mais de 1800 emails e foi capaz de bloquear tentativas de transferências, que somadas chagam a € 3,5 milhões (R$ 20 milhões). Os suspeitos foram presos no final da semana passada, após diversos mandados de busca e apreensão na província de A Coruña e nas cidades de Toledo, Badajoz, Burgos e Madrid.
Desarticulada una red dedicada a cometer estafas a través de Internet.
— Guardia Civil 🇪🇸 (@guardiacivil) July 10, 2021
Se ha detenido a 16 personas y se han conseguido bloquear tentativas de transferencias por un importe de 3.500.000 euros, tras analizar más de 1.800 correos electrónicos.
Más info: https://t.co/0ggQlE0UxB pic.twitter.com/EOAVRuyrKq
A Operação Águas Vivas (Aguasvivas), como foi chamada pela polícia espanhola, contabilizou cerca de 20 crimes de fraude, que resultaram no furto de € 276 mil (R$ 1,6 milhão), dos quais € 87 mil (R$ 522 mil) foram recuperados. Os criminosos conseguiram infectar as vítimas através de campanhas de phishing e email spoofing, que é basicamente uma campanha de email phishing, mas o com o endereço original adulterado.
Software, ou melhor, malware brasileiro
De acordo com o The Record, os trojans Mekotio e Grandoreiro foram supostamente desenvolvidos por cibercriminosos brasileiros, que operam um modelo de negócio que oferece serviços, nesse caso um Trojan as a Service (TaaS). Ou seja, os desenvolvedores alugam suas ferramentas para que outros cibercriminosos infectem vítimas e o lucro das operações é dividido entre as partes.
Os malwares foram desenvolvidos para furtar apenas credenciais e dados de aplicativos bancários, o que os faz bastante sorrateiros e difíceis de serem identificados por soluções de antivírus.
No começo deste ano, a ESET, desenvolvedora de segurança da informação com sede na Eslováquia, alertou que o trojan bancário, Vadokrist, que vem assolando à população e aos bancos brasileiros desde 2018, estava sendo atualizado.
O Vadokrist compartilha características muito semelhantes ao Mekotio e ao Grandoreiro, como a função de só coletar os dados necessários, além da sua capacidade de se esconder dos softwares de antivírus, por conter uma grande quantidade de código, que atrapalha a análise dos antivírus.
Fontes: Guardia Civil; The Record.