Ameaças cibernéticas direcionadas a usuários e organizações no Brasil
Indivíduos e organizações no Brasil enfrentam um cenário único de ameaças cibernéticas, caracterizado por uma interação complexa de ameaças globais e locais, que representa riscos significativos para pessoas, organizações e setores críticos da sociedade brasileira. Muitos dos atores de ameaças cibernéticas que são abundantes em todo o mundo também atuam na realização de tentativas de intrusão em setores críticos da sociedade brasileira. O Brasil também enfrenta ameaças representadas pelo aumento global da extorsão cibernética, à medida que o ransomware e o roubo de dados continuam a aumentar. Ao mesmo tempo, o cenário no Brasil é moldado por um ecossistema cibercriminoso doméstico, em que os atores de ameaças se coordenam para realizar invasões de contas, fraudes com cartões de crédito, implantar malware bancário e facilitar outras ameaças cibernéticas que dirigidas aos brasileiros. A ascensão do sul global, com o Brasil na vanguarda, marca uma mudança significativa no cenário geopolítico, que se estende ao espaço cibernético. À medida que a influência do Brasil cresce, também aumenta a sua presença digital, tornando-o um alvo cada vez mais atraente para ameaças cibernéticas provenientes de agentes de ameaças globais e nacionais.
Este artigo examina essa combinação de ameaças globais e locais, reunindo o conhecimento coletivo do Google sobre o cenário de ameaças brasileiro com o objetivo de proteger mais efetivamente os usuários e as organizações. À medida em que se amplia o papel econômico e geopolítico do Brasil no cenário global, os agentes de ameaças com diversas motivações buscarão ainda mais oportunidades para explorar a infraestrutura digital da qual os brasileiros dependem. Ao compartilhar nossos insights desde uma perspectiva global, esperamos possibilitar uma maior resiliência na mitigação destas ameaças.
O Google usa os achados da nossa análise para melhorar a segurança de nossos produtos, tornando-os mais seguros. Por exemplo, o Chrome OS tem segurança integrada e proativa para proteção contra ransomware, e nunca foi relatado nenhum ataque desse tipo de malware em qualquer dispositivo que roda com Chrome OS. As equipes de segurança do Google monitoram continuamente novas ameaças, e todos os sites e domínios identificados são adicionados à solução navegação segura para proteger os usuários de futuros ataques. Implantamos e atualizamos constantemente as detecções do Android para proteger os dispositivos dos nossos usuários e evitar que atores mal-intencionados publiquem malware na Google Play Store. Enviamos alertas de invasores apoiados por governos aos usuários do Gmail e dos outros aplicativos do Workspace, notificando-os sobre a atividade e incentivando possíveis alvos desses ataques a ativar as opções de navegação segura avançada para o Chrome assim como também garantir que todos os dispositivos estejam atualizados.
Operações de espionagem cibernética dirigidas ao Brasil
O status do Brasil como uma potência globalmente influente e a maior economia da América do Sul atraiu a atenção dos atores da espionagem cibernéticas nos últimos anos, incluindo ataques de grupos apoiados pelo governo da República Popular da China (RPC), da Rússia e da Coreia do Norte.
Desde 2020, grupos de ciberespionagem de mais de uma dezena de países têm tido como alvo usuários no Brasil; no entanto, mais de 85% das atividades de phishing (um tipo de ataque de engenharia social e fraude na qual invasores enganam as pessoas para que revelem informações confidenciais ou instalem malware, como ransomware) apoiadas pelo governo estão concentradas entre grupos da RPC, Coreia do Norte e Rússia. O fato desses grupos escolherem o Brasil como target, reflete as prioridades mais amplas e as mesmas tendências que vemos em outros países. Grupos apoiados pelo governo nor-coreano, por exemplo, demonstraram grande interesse nas empresas brasileiras de criptomoedas, aeroespacial e de defesa, e em instituições governamentais.
Os grupos associados à RPC, por sua vez, têm como alvo organizações governamentais brasileiras, bem como o setor energético. Os grupos russos de ciberespionagem cibernética atacam regularmente usuários no Brasil há mais de uma década; no entanto, desde o início da guerra da Rússia na Ucrânia, a atividade russa dirigia ao Brasil diminuiu consideravelmente - provavelmente uma indicação dos esforços da Rússia para concentrar recursos em alvos ucranianos e da OTAN no contexto da guerra Rússia-Ucrânia.
Atividade de espionagem cibernética associada à RPC
A atividade de espionagem cibernética relacionada à República Popular da China (RPC) com o Brasil como objetivo se remonta a mais de uma década. Desde 2020, temos observado ao redor de 15 grupos de espionagem cibernética da RPC focalizados em usuários no Brasil, e esses grupos foram responsáveis por mais de 40% das atividades de phishing apoiadas pelo governo com foco no Brasil. Sendo o maior destinatário do investimento chinês na América Latina, este volume de espionagem cibernética da RPC faz lembrar a atividade em outras regiões onde o investimento do governo chinês se concentrou, como os países abrangidos pela Belt and Road Initiative da RPC. Além das atividades direcionadas aos usuários do Gmail, os grupos associados à RPC têm como alvo as forças armadas do Brasil, o governo federal, as organizações diplomáticas e os governos de vários estados brasileiros. Esses grupos têm como alvo usuários no Brasil e usam táticas que vão desde phishing até distribuição de malware e exploração de vulnerabilidades conhecidas.
Em agosto de 2023, por exemplo, o Google detectou uma campanha de um grupo associado à RPC que tinha como alvo quase duzentos usuários de um departamento do poder executivo brasileiro. Os e-mails de phishing continham links para um arquivo ZIP criptografado hospedado em um domínio de phishing já identificado. Organizações nos governos estaduais do Brasil também têm sido alvo. No final de 2022, os agentes de ameaças associados à RPC usaram uma rede de caixa de retransmissão operacional (ORB) para anonimizar suas atividades e tentaram enviar uma campanha de phishing em massa para quase dois mil endereços de e-mail, incluindo 70 endereços de e-mail no ccTLD .br, a maioria dos quais pertencia a órgãos governamentais estaduais brasileiros. O e-mail em massa, que o Gmail bloqueou, continha um anexo TAR malicioso desenhado para explorar CVE-2022-41352, uma vulnerabilidade no Zimbra Collaboration Suite que permite a um invasor fazer upload de arquivos e obter acesso não autorizado a contas de outros usuários. A campanha teve como alvo organizações em todo o mundo e mostrava sinais de que era oportunista – a maioria dos endereços de e-mail visados foram endereçados ao administrador do domínio (por exemplo, admin@[domínio].gov.br).
A atividade de espionagem cibernética associada à RPC contra entidades locais e estaduais deve ser destacada devido às campanhas de agentes de ameaça, como os malwares UNC4841, que se concentraram em alvos semelhantes globalmente, inclusive no Brasil. Como parte da exploração do Barracuda Email Security Gateway em 2023, o UNC4841 teve como alvo uma associação empresarial brasileira focada na promoção do comércio no nível estadual em diversos setores.
Páginas de phishing criadas por grupos de espionagem cibernética associada à RPC visando o governo do Brasil
Grupos apoiados pelo governo norte-coreano com foco no Brasil
Desde 2020, os atores de ameaças cibernéticas norte-coreanos foram responsáveis por aproximadamente um terço das atividades de phishing promovidas por algum governo com foco no Brasil. Agentes de ameaças apoiados pelo governo norte-coreano têm como alvo o governo brasileiro e os setores aeroespacial, de tecnologia e de serviços financeiros do Brasil. Semelhante aos seus interesses em outras regiões, as empresas de criptomoedas e de tecnologia financeira têm sido um foco particular, e pelo menos três grupos norte-coreanos têm como alvo empresas brasileiras de criptomoedas e fintechs.
No início de 2024, PUKCHONG (UNC4899) teve como alvo profissionais de criptomoeda em diversas regiões do mundo, incluindo o Brasil, usando um aplicativo Python que foi infectado por malware. Para entregar o aplicativo malicioso, PUKCHONG estabeleceu o contato com os alvos por meio de mídia social e enviou um PDF benigno contendo uma descrição de cargo para uma suposta oportunidade de emprego em uma conhecida empresa de criptomoedas. Se o alvo respondesse com interesse, PUKCHONG enviava um segundo PDF benigno com um questionário de habilidades e instruções para completar um teste de codificação. As instruções orientavam os usuários a baixar e executar um projeto hospedado no Github. O projeto era um aplicativo Python infectado por malware para recuperar preços de criptomoedas que foi modificado para chegar a um domínio controlado pelo invasor e assim recuperar uma carga, se condições específicas fossem atendidas.
PUKCHONG (UNC4899) enviou instruções aos alvos para baixar um aplicativo Python trojanizado do Github
No passado, grupos apoiados pelo governo norte-coreano também procuraram atingir à indústria aeroespacial e de defesa do Brasil. Em um exemplo, a PAEKTUSAN criou uma conta se passando por diretor de RH de uma empresa aeroespacial brasileira e a usou para enviar e-mails de phishing a funcionários de uma segunda empresa aeroespacial brasileira. Numa campanha separada, PAEKTUSAN disfarçou-se de recrutador numa grande empresa aeroespacial dos EUA e fez contato com profissionais no Brasil e em outras regiões por meio de e-mail e redes sociais sobre potenciais oportunidades de emprego. O Google bloqueou os e-mails, que continham links maliciosos para um arquivo DOCX contendo uma isca de anúncio de emprego que derrubou o AGAMEMNON, um downloader escrito em C++. O invasor provavelmente também tentou entregar o malware por meio de mensagens em redes sociais e aplicativos de comunicação como o WhatsApp. As campanhas foram consistentes com Operation Dream Job e atividade descrita anteriormente pelo Google. Em ambas as campanhas, também enviamos aos usuários alertas de invasores apoiados por governos notificando-os sobre a atividade e compartilhando informações sobre como manter suas contas seguras.
Um grupo norte-coreano, PRONTO, concentra-se em atingir diplomatas em todo o mundo, e os seus alvos no Brasil seguem este padrão. Num caso, o Google bloqueou uma campanha que usava uma isca de phishing com tema de desnuclearização e o kit de phishing típico do grupo – um visualizador de PDF falso que apresenta aos usuários um prompt de login para inserir suas credenciais a fim de visualizar o documento de isca. Noutro caso, a PRONTO utilizou iscas com temas noticiosos da Coreia do Norte para direcionar alvos diplomáticos para páginas de colheita de credenciais.
Uma das tendências emergentes que temos testemunhado globalmente a partir da atividade de ameaças norte-coreanas atuais é a ameaça interna representada por cidadãos norte-coreanos que conseguem emprego sub-repticiamente em empresas para realizar trabalho em várias funções de TI. Embora ainda não tenhamos observado conexões diretas entre trabalhadores de TI norte-coreanos e empresas brasileiras, observamos que existe a possibilidade de que isso represente um risco futuro, dado o crescente ecossistema de startups no Brasil, a atividade histórica dos atores de ameaça norte-coreanos no Brasil e a expansão deste problema.
Atividade da Rússia reduzida desde o início da guerra na Ucrânia
A atividade de grupos apoiados pelo governo russo visando o Brasil diminuiu significativamente desde o início da guerra na Ucrânia. Dos sete grupos apoiados pela Rússia observados que visam o Brasil, quase 95% da atividade de phishing direcionada a usuários no Brasil vem de um grupo, o APT28, também conhecido como FROZENLAKE. A segmentação do APT28 no Brasil remonta a mais de uma década, e os usuários brasileiros têm sido regularmente alvo das frequentes campanhas de phishing do grupo. No final de 2021, mais de 200 usuários residentes no Brasil foram alvo de campanhas de phishing em grande escala pela APT28. Nessas campanhas, que ocorreram durante vários dias entre setembro e outubro de 2021, a FROZENLAKE enviou e-mails de phishing com credenciais para mais de 14 mil destinatários em todo o mundo. Após o final de 2021, os grupos russos não têm atacado o Brasil regularmente – uma mudança que provavelmente se deve, pelo menos em parte, aos esforços da Rússia para dar prioridade às operações cibernéticas centradas na Ucrânia e na OTAN.
O ecossistema único do crime cibernético no Brasil
Atividades de ameaças com motivação financeira representam um risco constante para usuários e organizações no Brasil. Observamos uma variedade de operações, incluindo ransomware e roubos de dados usados para extorsão bem como fóruns clandestinos e anúncios em mídias sociais que buscam facilitar acesso de atores mal-intencionados, bancos de dados, informações confidenciais e ferramentas especializadas para comprometer usuários e instituições brasileiras.
Embora os cibercriminosos centrados no ganho financeiro representem uma ameaça transnacional e emanem de todos os cantos do globo, por vezes surgem comunidades específicas com características mais localizadas. Por exemplo, os fóruns apenas em língua russa no ecossistema do mercado clandestino da Europa Oriental moldam o fluxo de malware, os dados oferecidos para venda e a formação de relações criminosas. Da mesma forma, no Brasil, as comunidades cibercriminosas específicas do português brasileiro permitem uma ameaça localizada e doméstica.
Comunidades Brasileiras de Crimes Cibernéticos
Os insights da Mandiant baseados em discussões e publicações no mercado clandestino de língua portuguesa brasileira durante o ano passado ilustram que esses atores de ameaça têm acesso a uma variedade de ferramentas e produtos maliciosos, incluindo o comprometimento e venda de dados de cartões de pagamento, credenciais e bancos de dados confidenciais; phishing; desenvolvimento e venda de trojans de acesso remoto (RATs); acesso interno; e ameaças móveis.
Estes atores maliciosos dependem significativamente menos de fóruns clandestinos tradicionais, que são as plataformas mais comuns utilizadas em outras regiões, e tendem a confiar em alternativas como aplicações móveis e redes sociais, particularmente Telegram e WhatsApp.
A capacidade técnica dos atores de ameaças envolvidos em atividades de crime cibernético é geralmente baixa a moderada em relação às comunidades clandestinas de outras regiões. Consistente com as tendências já observadas no passado, continuamos vendo agentes de ameaças de comunidades clandestinas da América Latina anunciarem principalmente produtos concebidos para atingir a sua própria região. Membros mais experientes do submundo do crime cibernético de língua portuguesa brasileira, muitas vezes, parecem dispostos a ensinar e orientar atores de ameaças menos qualificados ou mais novos. Enquanto alguns agentes de ameaças cobram por isso, outros oferecem ajuda e suporte, gratuitamente. Ensinar gratuitamente membros menos experientes pode ajudar o mentor a melhorar sua reputação, aumentar o número de membros do grupo e demonstrar suas próprias habilidades e conhecimentos.
Malware direcionado ao sistema de transferência interbancária PIX
Observamos agentes de ameaças baseados na América Latina aproveitando e visando plataformas de pagamento específicas de cada país, seja para facilitar a venda de serviços ou para direcionar informações de pagamento das vítimas. No caso do Brasil, essa atividade tem se concentrado no Pix, plataforma de pagamento instantâneo criada e administrada pelo Banco Central do Brasil. O Pix permite pagamentos e transferências instantâneas entre contas bancárias em segundos usando uma chave, e é um dos métodos de pagamento mais comuns no Brasil.
Relatórios de fonte aberta indicam que os agentes de ameaças estiveram envolvidos na distribuição de malware chamado “GoPix” até o final de 2023 para usuários do Pix promovidos especificamente por meio de técnicas de publicidade maliciosas ou “malvertising”. A funcionalidade relatada deste malware inclui a capacidade de sequestrar a funcionalidade da área de transferência para transações Pix ou criptomoedas, substituindo a string Pix ou endereço da carteira por um controlado pelo invasor.
UNC5176 distribui malware URSA
Outro grupo que historicamente tem como alvo usuários e empresas em toda a América Latina é o UNC5176, um suposto cluster de ameaças baseado no Brasil que distribui malware com foco em usuários de bancos latino-americanos e espanhóis, inclusive no Brasil. No final de abril, a Mandiant observou uma campanha do UNC5176 distribuindo o malware URSA a organizações em setores como serviços financeiros, saúde, varejo e hospitalidade. Nesta campanha recente a Mandiant não observou segmentação de entidades no Brasil. URSA é um backdoor capaz de roubar credenciais de login de vários bancos, sites de criptomoedas e clientes de e-mail. O UNC5176 usa e-mails e campanhas de malvertising - um ataque malicioso que envolve a injeção de código prejudicial em redes legítimas de publicidade online - para comprometer os usuários, normalmente entregando e-mails que possuem um arquivo ZIP anexado que contém um arquivo HTA malicioso que, quando abertos, esses arquivos HTA liberam um arquivo VBS que se conecta a um C2 e baixa um arquivo VBS de segundo estágio. O arquivo VBS baixado contém proteções, incluindo anti-VM/Sandbox e verificações de linguagem do sistema operacional. Se as verificações forem aprovadas, ele inicia conexões com o C2 e uma carga útil da URSA é baixada e executada.
Além das Fronteiras: O Impacto Multifacetado da Extorsão no Brasil
Embora muitas das ameaças cibernéticas com motivação financeira que afetam o Brasil tenham origem nacional, o Brasil também enfrenta riscos globais, como ransomware e roubo de dados como forma de extorsão. Embora as campanhas de extorsão multifacetadas mais comuns continuem a se concentrar na América do Norte e na Europa, estes agentes de ameaças também exploraram o Brasil. Por exemplo, com base na análise de supostas vítimas listadas no site de vazamento de dados do Ransomware as a Service (RAAS) RANSOMHUB, o segundo país mais visado com base nas vítimas listadas é o Brasil, depois dos Estados Unidos. As operações de ransomware da RANSOMHUB impactaram organizações em diversas regiões geográficas e abrangendo quase todos os setores da economia. Desde janeiro de 2023, em todos os sites de vazamento de dados (DLS) que a Mandiant rastreia para empresas sediadas no Brasil, os setores mais impactados foram tecnologia, saúde e serviços financeiros.
Detalhamento dos sites de vazamento de dados (DLS) da organização de vítimas brasileiras por setor, rastreado pela Mandiant (janeiro de 2023 a maio de 2024)
Representando serviços oficiais do governo para distribuir malware
As campanhas de distribuição de malware direcionadas aos brasileiros frequentemente usam iscas com temas fiscais e financeiros para convencer os destinatários a abrir links ou arquivos maliciosos. Um grupo com motivação financeira que rastreamos, o PINEAPPLE, regularmente se disfarça como a Receita Federal do Brasil em campanhas de spam que tentam convencer os usuários a instalar o infostealer Astaroth. A esmagadora maioria dessas campanhas foi bloqueada na chegada para usuários do Gmail e do Workspace. Essas campanhas muitas vezes falsificam o endereço de e-mail legítimo da Receita Federal, receita@gov[.]br , e usam diferentes técnicas para convencer os gateways de e-mail de que o e-mail é autêntico - por exemplo, usando serviços de encaminhamento de e-mail, que não descartam mensagens com registros SPF com falha, ou colocando dados inesperados no campo STMP Return-Path para acionar um tempo limite de solicitação de DNS e fazer com que as verificações de autenticação de e-mail SPF falhem.
Em uma campanha recente bloqueada pelo Gmail, os e-mails de spam da PINEAPPLE se faziam passar pelo Ministério da Fazenda do Brasil e direcionavam os destinatários para uma página de engenharia social que imitava o sistema eletrônico de documentos fiscais do governo brasileiro (Portal da Nota Fiscal Eletrônica). O site orientava os visitantes a clicar em um botão para visualizar um documento fiscal eletrônico gerado pelo sistema. Se clicado, o link direcionava os usuários para uma carga LNK hospedada em um endereço IP controlado pelo invasor. Num provável esforço para evitar a detecção, os agentes de ameaças incorporaram vários serviços legítimos na campanha. Os links no site de engenharia social usavam o protocolo ms-search:// para direcionar os usuários ao endereço IP dos invasores, e os atores da ameaça hospedavam seus sites no Google Cloud Platform (GCP) - Cloud Run. O Google desativou o site malicioso do Cloud Run e suspendeu o projeto GCP associado.
Página de engenharia social que se faz passar pelo sistema eletrônico de documentos fiscais do governo brasileiro (Portal da Nota Fiscal Eletrônica)
Abusando de serviços de nuvem legítimos para distribuir o infostealer Astaroth
A PINEAPPLE frequentemente abusa de serviços de nuvem legítimos em suas tentativas de distribuir malware para usuários no Brasil. O grupo fez experiências com diversas plataformas de nuvem, incluindo Google Cloud, Amazon AWS, Microsoft Azure e outras.
Em 2023, equipes do Google trabalharam juntas para interromper o uso indevido do Google Cloud Run e do Cloud Functions pela PINEAPPLE. Nessas campanhas, a PINEAPPLE usou instâncias comprometidas do Google Cloud e projetos dentro da divisão de nuvem do Google que eles próprios criaram para desenvolver suas próprias URLs de contêiner do Google Cloud hospedadas em domínios legítimos do GCP, como cloudfunctions.net e run.app . As URLs hospedavam páginas de destino que redirecionavam os alvos para uma infraestrutura maliciosa que derrubou o infostealer Astaroth. Após a descoberta, o Google desativou os sites maliciosos do Cloud Run e do Cloud Functions e suspendeu os projetos associados dentro de Google Cloud Platform. Também aumentamos nossa cobertura de detecção e resposta e implementamos melhorias de segurança em nível de produto para aumentar significativamente a dificuldade de nossas plataformas serem usadas por esse tipo de agente de ameaça. Estas medidas de mitigação reduziram o volume de Astaroth em 99% em comparação com o pico da campanha.
O PINEAPPLE reage rapidamente e adapta iterativamente seus TTPs em resposta a novas detecções. Após a interrupção de suas campanhas de abuso em larga escala, o abuso do Cloud Run pela PINEAPPLE continuou intermitentemente em volumes mais baixos. O grupo também experimentou outros serviços de nuvem, incluindo o Google Compute Engine. Semelhante às campanhas anteriores, a PINEAPPLE distribuiu links maliciosos por e-mail. Os links GCE foram configurados para servir um arquivo não criptografado, como ZIP, LNK ou outros tipos de arquivo menos conhecidos. O time de Google Cloud Trust & Safety suspendeu os projetos Google Cloud Platform operados por invasores da PINEAPPLE. Pouco tempo depois, o grupo começou a experimentar outras plataformas de nuvem, incluindo Microsoft e Tencent.
As campanhas recentes da PINEAPPLE em maio e junho de 2024 continuaram a falsificar a Receita Federal e hospedar páginas de destino em servidores virtuais dedicados criados por meio do serviço de nome de host IP reverso da GoDaddy. Em outros casos recentes, a PINEAPPLE utilizou serviços de encaminhamento de e-mail para enviar e-mails que parecem vir do WhatsApp. Continuamos monitorando suas campanhas e atualizando regularmente as proteções do Google para garantir que os usuários estejam protegidos.
Phishing de credenciais
Phishing de credenciais também representa uma ameaça comum que afeta usuários e organizações no Brasil. Em 2023, por exemplo, o Google interrompeu atividades de phishing hospedadas em projetos dentro de soluções de Google CLoud que estavam sendo usadas para coletar credenciais para uma das maiores plataformas de pagamento online da América Latina. As páginas eram operadas pelo ator com motivação financeira baseado na América Latina, FLUXROOT, um grupo mais conhecido pela distribuição do malware bancário Grandoreiro. Ao descobrir os sites FLUXROOT, atualizamos as assinaturas de detecção e adicionamos os sites à lista de bloqueio do Navegação segura. Mais recentemente, o FLUXROOT continuou a distribuição do Grandoreiro, usando serviços em nuvem como Azure e Dropbox para servir o malware.
Página de coleta de credenciais hospedada no projeto sem servidor do GCP
Conclusão
À medida que o Brasil continua a crescer em importância econômica e geopolítica, continuará sendo um alvo atraente para atores de ameaças movidos por diferentes motivações. O panorama digital do país é uma arena complexa, desenvolvida e expandida ao longo dos anos por uma convergência de ameaças globais e locais. Atores globais de espionagem cibernética da Coreia do Norte, República Popular da China (RPC) e Rússia, bem como cibercriminosos multinacionais representam ameaças de longa data, e o mercado interno de cibercriminosos do Brasil continua a ser um desafio persistente – aumentando as complexidades deste cenário dinâmico. Para proteger de maneira eficaz as empresas e os usuários brasileiros, é importante compreender esta interação única de ameaças e adotar uma abordagem proativa à segurança cibernética.
Esperamos que a análise aqui exposta ajude a informar os brasileiros, fornecendo novos insights para a defesa coletiva. No Google, estamos empenhados em apoiar a segurança dos utilizadores online em todo o mundo e continuaremos a tomar medidas para interromper atividades maliciosas para proteger os nossos utilizadores e ajudar a tornar a Internet segura para todos.