O departamento de inteligência de ameaças do Google Cloud revelou que ciberataques patrocinados pelo governo norte-coreano estão direcionados a exchanges de criptomoedas e empresas fintech no Brasil.
De acordo com o relatório, divulgado em 12 de junho, houve uma série de tentativas coordenadas de sequestro, extorsão e fraude contra indivíduos e organizações brasileiras.
Os grupos cibercriminosos norte-coreanos, em particular o grupo conhecido como Pukchong (ou UNC4899), têm mirado especificamente cidadãos e empresas brasileiras. A estratégia dos atacantes envolve enganar candidatos a empregos, levando-os a baixar malware em seus sistemas.
“A infraestrutura digital do Brasil enfrenta ameaças além do ransomware tradicional. Nossa nova postagem no blog combina a experiência do Google TAG e da Mandiant para analisar o cenário de ameaças único do Brasil. Leia agora: https://bit.ly/4ejsI9h”, tuitou a empresa.
- Leia também: Carteiras da Loopring sofrem ataque de US$ 5 milhões
Ciberataques visam empresas brasileiras
Conforme apontou o relatório, esses ataques frequentemente utilizam um aplicativo Python trojanizado para recuperar preços de criptomoedas, modificado para se conectar a um domínio controlado pelos invasores. Caso determinadas condições sejam atendidas, uma segunda carga maliciosa é descarregada no sistema da vítima.
Confira nossas sugestões de Pre-Sales para investir agora
O relatório do Google Cloud também menciona que grupos cibercriminosos apoiados pelo governo chinês têm como alvos preferenciais as organizações governamentais e o setor de energia no Brasil, diferentemente dos norte-coreanos que focam em empresas de criptomoedas, aeroespaciais, de defesa e governamentais.
“Indivíduos e organizações no Brasil enfrentam um cenário único de ameaças cibernéticas. Isso porque há uma interação complexa de ameaças globais e locais, que representa riscos significativos para indivíduos, organizações e setores críticos da sociedade brasileira”, diz o relatório.
Vários grupos de cibercriminosos estão realizando ataques contra empresas de criptomoedas brasileiras. Essas campanhas de malware visam comprometer a segurança das entidades alvo e roubar informações sensíveis ou recursos financeiros.
Brasil como potência globalmente influente
Conforme destacou o relatório, o status do Brasil como uma potência globalmente influente atraiu a atenção dos atores da espionagem cibernética durante vários anos. Isso inclui ataques de grupos apoiados pelo governo da República Popular da China (RPC), da Rússia e da Coreia do Norte.
Desde 2020, grupos de espionagem cibernética de mais de uma dezena de países têm como alvo usuários no Brasil. No entanto, mais de 85% das atividades de phishing apoiadas pelo governo estão concentradas entre grupos da RPC, Coreia do Norte e Rússia.
“Grupos apoiados pelo governo norte-coreano, por exemplo, demonstraram grande interesse nas empresas brasileiras de criptomoeda, aeroespacial e de defesa, e em alvos governamentais”, diz o relatório.
Desde 2020, os ciberatores norte-coreanos responderam por aproximadamente um terço das atividades de phishing visando o Brasil. Atores apoiados pelo governo norte-coreano têm como alvo o governo brasileiro e os setores aeroespacial, de tecnologia e de serviços financeiros do Brasil.
Semelhante aos seus interesses de direcionamento em outras regiões, as empresas de criptomoedas e de tecnologia financeira têm sido um foco particular. Pelo menos três grupos norte-coreanos têm como alvo empresas brasileiras de criptomoedas e fintech.
Malware visando o Pix
Os analistas também observaram atores de ameaças baseados na América Latina aproveitando e visando o Pix. Relatórios de código aberto indicam que os agentes de ameaças estiveram envolvidos na distribuição de um malware chamado “GoPix” até o final de 2023.
A funcionalidade relatada deste malware inclui a capacidade de sequestrar a funcionalidade da área de transferência para transações Pix ou criptomoedas, substituindo a string Pix ou endereço da carteira por um controlado pelo invasor.
O relatório observou ainda que as campanhas de distribuição de malware com foco nos brasileiros frequentemente usam iscas com temas fiscais e financeiros para convencer os destinatários a abrir links ou arquivos maliciosos. Mas a esmagadora maioria dessas campanhas foi bloqueada para usuários do Gmail e do Workspace.
Por fim, o relatório pontuou que à medida que o Brasil continua a crescer em importância econômica e geopolítica, continuará sendo um alvo atraente para agentes de ameaças.
“Para proteger efetivamente empresas e usuários brasileiros, é importante entender essa interação única de ameaças e adotar uma abordagem proativa à segurança cibernética. Esperamos que a análise e a pesquisa aqui ajudem a informar os defensores no Brasil, fornecendo novos insights para a defesa coletiva”, afirmou o Google Cloud.
