Alertam sobre e-Mails de phishing do GeoMetrix no Brasil

Ao longo de julho, os pesquisadores do Perception Point observaram um aumento nas campanhas de e-mail de phishing criadas em português e espanhol. Os e-mails são criados por um grupo brasileiro de ameaças cibernéticas que eles chamam de "GeoMetrix".

De acordo com a Perception Point, esse grupo é responsável por executar diversas campanhas de phishing, visando principalmente pessoas no Brasil e na Espanha. Eles também provavelmente lucrarão com suas ferramentas de phishing vendendo-as para outros cibercriminosos.

Em um blog altamente ilustrativo, os pesquisadores explicam que os e-mails da GeoMetrix são projetados para se passar por instituições bancárias espanholas e brasileiras legítimas. O objetivo final é enganar usuários desavisados para que cliquem em um link embutido contido em um e-mail que diz que o destinatário foi selecionado para se tornar um cliente Bradesco Prime, ou um e-mail do Banco do Brasil, avisando o leitor de que ele tem uma certa quantidade de moedas digitais prestes a expirar.

Se o usuário clicar na URL incluída, ele será redirecionado para um site malicioso, de onde a localização da possível vítima é determinada. "Se a localização do usuário estiver alinhada com a geografia de destino do agente da ameaça, os dados críticos do usuário (endereço IP, localização física e endereço de e-mail) serão registrados no 'painel de cliques' do invasor", explica o blog.

O usuário pode então ser vítima de um download de malware bancário ou pode ser redirecionado para um site de phishing fraudulento que parece ser um banco latino-americano ou uma página da Trust Wallet. Lá você é solicitado uma chave e senha com o objetivo de roubar informações bancárias pessoais. No caso do correio do Banco do Brasil, também é solicitado o BB Code, recurso dessa instituição para facilitar e tornar as transferências de dinheiro mais seguras. "Os cibercriminosos por trás da campanha de phishing exploraram esse recurso, usando-o para enganar as vítimas a transferir dinheiro diretamente para elas. Ao fazer o processo parecer fácil e seguro, eles identificaram uma maneira convincente de roubar dinheiro de vítimas desavisadas", alerta a Perception Point.

Os pesquisadores estimam que o número de usuários infectados ultrapassou 15.000 vítimas e acreditam que a GeoMetrix pode estar se beneficiando de um dos seguintes modelos de negócios:

1. Phishing-as-a-Service (PhaaS): É concebível que a GeoMetrix possa estar oferecendo um serviço em que os clientes são cobrados por cada clique bem-sucedido, um modelo que lembra o Malware-as-a-Service (MaaS), no qual os fornecedores normalmente cobram pela infecção.

2. Venda de kits de phishing: esses kits prontos para uso geralmente incluem itens essenciais, como um painel de phishing, um domínio e uma lista de alvos de spam.

Da Perception Point, eles alertam sobre os riscos representados pelo grupo GeoMetrix: "Parece ser mais do que apenas um agente de ameaças e há uma forte possibilidade de que sirva como uma plataforma que permite que outros realizem atividades maliciosas, incluindo phishing e distribuição de malware. Isso ressalta a crescente complexidade do cenário de ameaças cibernéticas e enfatiza a necessidade de defesas cibernéticas aprimoradas. À medida que lidamos com essas ameaças multidimensionais, devemos atualizar continuamente nossos conhecimentos, melhorar nossas defesas e permanecer alertas a novas táticas", concluem os pesquisadores.

Você pode encontrar as informações completas dessa ameaça no blog da Perception Point.