Criminosos brasileiros criaram e exportaram um vírus que desvia transferências em mais de 60 bancos. A fraude virtual passava despercebida até o início deste ano, segundo a equipe de pesquisa do antivírus Kaspersky.

O programa invasor (malware), chamado de Coyote, é distribuído por email e simula um pacote de atualização do Windows, chamado de Squirrel, acionado quando o arquivo enviado na mensagem é aberto.

O ataque visa computadores pessoais usados em empresas e repartições públicas. É o que os técnicos chamam de trojan bancário - em referência ao cavalo de troia usado pelos gregos para ultrapassar as muralhas inimigas.

O vírus usa uma estratégia de instalação por fases que dificulta a detecção por parte dos antivírus. Além disso, usa a linguagem de programação nim, vista pela primeira vez em um trojan. "Isso tudo ajuda a furar as defesas do sistema da vítima", diz o diretor da equipe de pesquisa na América Latina da Kaspersky, Fabio Assolini.

A linguagem nim vista no Coyote já havia sido registrada em ransomwares e é capaz de operar em diferentes dispositivos com diversos sistemas operacionais - Windows, iOS, Android ou Linux, por exemplo. É o que especialistas chamam de multimodal.

Os desenvolvedores implementaram técnicas inéditas na criação do Coyote, o que fez desse vírus uma descoberta relevante em nível internacional, segundo a Kaspersky.

Depois de instalado, o vírus monitora a atividade da vítima em sites bancários. O programa é capaz de capturar as letras tecladas pelo usuário, de mover o mouse e de configurar uma página falsa para roubar dados.

Após roubar as informações bancárias, os criminosos podem realizar operações financeiras e desfalcar a conta de seus alvos ou executar compras no cartão de crédito.

Para realizar a fraude sem que o dono do computador perceba, o Coyote bloqueia a tela da vítima e emite um comunicado falso de atualização do Windows. Sob a imagem falsa, ocorrem as transferências ilegais.

A única solução para evitar o Coyote é desconfiar de emails de remetentes desconhecidos ou estranhos. Uma dica é conferir se o servidor (@empresa.com) confere com o site original. Outra é ter versões atuais de antivírus instaladas.

Cerca de 90% das detecções do novo vírus ocorreram no Brasil, segundo a Kaspersky. Embora tenha origem local, o programa invasor já foi detectado em outros países da América Latina.

Os cibercriminosos brasileiros são referência global na programação de trojans bancários e os exportam. Há registros de vírus nacionais até na Austrália.

Só a Kaspersky registrou mais de 18 milhões de ataques por trojan bancários em 2023, quase o dobro do que era registrado em 2020.

No resto do mundo, esse tipo de ataque tem perdido espaço ante a popularização de ransomwares, ataques que sequestram bancos de dados de grandes empresas para pedir altos resgates para devolver as informações.

A JBS, por exemplo, pagou US$ 11 milhões (R$ 55 milhões) a criminosos que invadiram seus datacenters nos EUA.

O sequestro de sistemas empresariais exige alto investimento de tempo e recursos humanos.

Os criminosos brasileiros, no geral, preferem se dedicar a ataques contra pessoas físicas em larga escala pela maior facilidade técnica, segundo Assolini, da Kaspersky.

A adoção dessas linguagens recentes, como a nim, abre caminho para aumentar a chance de infecção de celulares por vírus. Isso, além de dificultar o trabalho de especialistas em cibersegurança, deve desafiar as defesas dos apps bancários - atual preferência nacional para realização de transações financeiras, segundo dados da Febraban (Federação Brasileira de Bancos).

Os criminosos, contudo, continuam a mirar computadores pessoais, já que essas máquinas são usadas em transações financeiras de pessoas jurídicas.

"Empresas e órgãos públicos movimentam quantidades maiores de dinheiro, o que aumenta os ganhos dos cibercriminosos", diz Assolini.