Operação Geometrix do Brasil

Uma equipe de pesquisadores da renomada empresa de cibersegurança, Perception Point, lançou luz sobre as atividades obscuras do misterioso grupo brasileiro de ameaças cibernéticas conhecido como “GeoMetrix”.

Desafios Cibernéticos no Brasil

O universo das ameaças cibernéticas permanece em alerta à medida que o grupo brasileiro “GeoMetrix” continua a espalhar suas teias digitais, explorando técnicas cada vez mais sofisticadas para atingir suas vítimas. Especialistas em cibersegurança da Perception Point têm acompanhado de perto os recentes ataques realizados por essa misteriosa organização ao longo das últimas semanas, revelando uma crescente preocupação com suas ações e motivações.

O foco central tem sido a realização de campanhas de phishing, um tipo de golpe virtual que busca enganar os usuários, levando-os a fornecer informações pessoais e financeiras sensíveis. O alvo principal dessa organização são indivíduos situados no Brasil e na Espanha, países que têm sido palco frequente de suas investidas cibernéticas.

O que mais preocupa os especialistas é a suspeita de que o “GeoMetrix” esteja lucrando com suas atividades ilícitas. Há indícios de que o grupo esteja vendendo suas ferramentas de phishing a outros criminosos, ampliando o alcance de seus ataques e contribuindo para um cenário de ameaças digitais ainda mais preocupante.

Visão geral das campanhas de phishing

Durante o mês de julho de 2023, os pesquisadores do Perception Point identificaram um aumento significativo nas campanhas de e-mail de phishing desenvolvidas em língua portuguesa e espanhola. Esses e-mails foram meticulosamente elaborados para se passarem por instituições bancárias legítimas da Espanha e do Brasil. O propósito final dessas mensagens é enganar usuários desprevenidos para que cliquem em um link incorporado presente no conteúdo do e-mail.

Após o usuário clicar nesse URL inserido de forma sutil, o mesmo é redirecionado para o site do painel de controle da ameaça cibernética. Neste ponto, o site realiza uma varredura de geolocalização para identificar a localização do usuário. Caso essa localização esteja dentro do alvo geográfico definido pelo agente da ameaça, informações críticas do usuário, como endereço IP, localização física e endereço de e-mail, são registradas no “painel de cliques” do invasor.

Posteriormente, o usuário é redirecionado para um URL malicioso que esconde uma das seguintes cargas úteis:

1. Um downloader utilizado para obter e instalar malware bancário, como Mekotio, Grandoreiro ou Ousaban.
2. Um site de phishing que imita um banco da América Latina, com o intuito de enganar e roubar informações financeiras dos usuários.
3. Um site fraudulento de phishing da Trust Wallet.

O diagrama ilustrando o fluxo de execução da campanha:

Visão geral do painel e verificação de cerca geográfica

Durante uma análise detalhada dos pesquisadores da Perception Point, foi detectada a presença de dez painéis de cliques em atividade, todos apresentando uma estrutura comum:

1. Página de login apresentada em português
2. Painel de controle abrangendo os seguintes campos:

• Data do clique
• Endereço de IP
• País
• Região
• Cidade
• Tipo de dispositivo
• Hospedar
• E-mail
• Status

3. Botões de reinicialização

O mecanismo de geofencing opera por meio de três verificações essenciais:

1. Verificação do agente do usuário: O servidor obtém os dados do agente do usuário e realiza uma referência cruzada com uma lista de bloqueios, conforme detalhado no Apêndice 1.

2. Verificação do nome do host: Após a aprovação da verificação do agente do usuário, o servidor recupera os dados do host do usuário utilizando a função PHP “gethostbyaddr”. Esses dados do host também são comparados com uma lista de bloqueios, conforme mencionado no Apêndice 2.

3. Verificação de geolocalização: Como última etapa, supondo que a verificação do host tenha sido aprovada com êxito, o servidor envia o endereço IP do usuário para um serviço de API de geolocalização IP. O campo “país” recuperado desse serviço é comparado com uma lista de permissões.

Caso o usuário passe com sucesso por todas as três verificações, suas informações serão registradas no painel de cliques e ele será redirecionado para a URL maliciosa. Entretanto, se alguma das verificações falhar, o usuário será redirecionado para um mecanismo de busca inofensivo, como o Bing.

Impacto das Campanhas

Em um desdobramento preocupante, uma investigação minuciosa resultou na identificação de dez painéis de cliques distintos, revelando a extensão assustadora de vítimas infectadas em ataques cibernéticos. Cada um desses painéis exibia um contador de “cliques de sucesso” (“Liberados”), demonstrando a eficácia do golpe e a escala alarmante das infecções. Ao somar o número de “cliques de sucesso” de todos os painéis, o total de vítimas infectadas ultrapassou a marca impressionante de 15.000.

Campanha Destaque – Banco do Brasil

Durante a investigação da Perception point , uma campanha de phishing alarmante surgiu, a campanha em questão se apresentou como uma tentativa fraudulenta do Banco do Brasil, buscando enganar destinatários com uma estratégia engenhosa e persuasiva.

O e-mail falso, meticulosamente elaborado pelos criminosos, foi projetado para alertar o destinatário sobre a iminente expiração de uma grande quantidade de moedas digitais em posse do Banco do Brasil. A mensagem envolvia o destinatário ao sugerir a utilização imediata dessas moedas, a fim de evitar sua perda no dia seguinte.

Esse e-mail aparentemente inofensivo conduzia as vítimas a um site de phishing habilmente projetado, o qual se assemelhava muito à página de login autêntica do Banco do Brasil.

Na parte esquerda dessa página, os usuários são solicitados a inserir uma chave e uma senha. O fornecimento dessas informações desencadeia uma série de etapas de phishing destinadas a roubar dados bancários pessoais. Contudo, o que talvez seja ainda mais intrigante é o lado direito da página, que exibe algo denominado “BB Code”.

O “BB Code” é um recurso desenvolvido pelo Banco do Brasil com o propósito de tornar as transferências de dinheiro mais simples e seguras. Esse recurso opera escaneando um código QR por meio de qualquer aplicativo bancário e confirmando a transação no dispositivo móvel do usuário, efetuando assim a transferência do dinheiro para o destinatário designado.

Os cibercriminosos responsáveis pela campanha de phishing aproveitaram-se desse recurso, utilizando-o para persuadir as vítimas a transferirem dinheiro diretamente para eles. Ao apresentar o processo como algo fácil e seguro, eles conseguiram encontrar uma maneira persuasiva de roubar dinheiro de vítimas inocentes.

O potencial comercial do GeoMetrix

Considerando a extensa quantidade de evidências coletadas durante toda essa investigação, é plausível supor que a GeoMetrix pode estar envolvida em uma das seguintes formas de lucro:

1. Phishing-as-a-Service (PhaaS): Existe a possibilidade de a GeoMetrix estar oferecendo um serviço em que os clientes pagam por cada clique bem-sucedido, em um modelo semelhante ao Malware-as-a-Service (MaaS), onde os provedores geralmente cobram por infecções. Essa especulação é decorrente da observação de padrões repetitivos que ajudaram a identificar essa potencial ameaça.

2. Vendas de kits de phishing: Outra fonte de receita possível para a GeoMetrix pode ser a comercialização de kits de phishing prontos para uso. Esses kits normalmente contêm os elementos essenciais, como um painel de phishing, domínio e uma lista de alvos de spam.

Insights e Implicações

O GeoMetrix parece transcender o papel de um simples ataque cibernético, sendo altamente provável que ele atue como uma plataforma que possibilita que outras pessoas realizem atividades maliciosas, como phishing e disseminação de malware. Esse cenário ressalta a crescente complexidade do panorama de ameaças cibernéticas e enfatiza a necessidade premente de defesas cibernéticas aprimoradas. À medida que enfrentamos essas ameaças multifacetadas, é essencial atualizar constantemente nosso conhecimento, fortalecer nossas defesas e permanecer vigilantes diante das novas táticas emergentes. A segurança cibernética deve ser uma prioridade contínua para proteger nossos sistemas e dados contra essas ameaças em constante evolução.