ZERO DIA - Semana 2025-02-24 (extendida)
Operação Databrokers PF | Brasil #1 em malware Android Vo1d | Cyber GAECO vs. golpista Spotify que fez R$2,3 mi | Polícia Civil SP vs. golpe Mão Fantasma | Ataque contra sites de STJ e CNJ | e mais
No Brasil
Operação Databrokers da PF desarticula associação criminosa especializada em invasão de sistemas governamentais e comércio de dados
Em 26 de Fevereiro, a Polícia Federal deflagrou a Operação Databrokers, que desarticulou uma associação criminosa especializada na invasão de sistemas governamentais e comércio ilegal de dados sigilosos na dark web. O grupo cibercriminoso é especializado na exfiltração de dados, que posteriormente são negociados em fóruns web.
O portal Metrópoles apurou o lacônico comunicado da PF, fornecendo algumas informações adicionais. De acordo com a apuração, os hackers obtinham os dados por meio de backdoors obtidos do grupo de ransomware LockBit. As organizações supostamente afetadas foram Heineken no Brasil e órgãos públicos, como o Tribunal de Justiça da Bahia (TJ-BA), a Polícia Rodoviária Federal (PRF) e o Fundo Nacional de Desenvolvimento da Educação (FNDE). Somente a PRF confirmou o comprometimento de dados. A PF está investigando se a venda desses dados resultou em acesso efetivo e quis foram os valores movimentados. / PF
Cyber GAECO prende golpista de Spotify que fez R$2,3 milhões
Em junho de 2024, o UOL revelou no podcast UOL PRIME #23 um esquema de roubo em massa de composições do gênero sertanejo. O promotor Fabrício Lamas, do Cyber GAECO, escutou o episódio e abriu uma investigação. O esquema, que acontecia na plataforma Spotify, era controlado por Ronaldo Torres de Souza, que foi preso preventivamente.
Ele admitiu que fazia, que criava, o MP [Ministério Público] achou uma pasta com 3.000 músicas, a pasta se chamava CDs Spotify. Pode ser muito mais do que os 200 perfis falsos que existiam, e além disso, essa fazendinha tava rodando também plays em músicas criadas com inteligência artificial, ele simplesmente deixava a música criada ali e rodava como se ela estivesse fazendo o sucesso. Ou seja, em nenhum dos dois casos, sendo a música roubada ou criada por IA, ele tinha que fazer nada, só deixar ali o play rodando.
O caso é mais um exemplo de como o Brasil é um teste de stress para qualquer software ou serviço. Se há brechas para crimes, cedo ou tarde elas serão exploradas no Brasil e as lições aprendidas podem ser úteis em outras geografias menos hostis. Nesse caso, o artista não existe, a música é roubada e a audiência não era formada por humanos. Souza fez pelo menos R$2,3 milhões com esse esquema elaborado - o valor apreendido na forma de carros, criptomoedas e outros bens. / UOL PRIME
Polícia Civil SP desarticula quadrilha que aplicava golpe Mão Fantasma
Em 28 de Fevereiro, a Polícia Civil de São Paulo prendeu um dos chefes de uma quadrilha que aplicava golpes bancários. A prisão ocorreu em São José do Rio Preto/SP. O Modus Operandi (MO) da quadrilha era aplicar o golpe da Mão Fantasma, descrito detalhadamente em um artigo da Kaspersky.
Uma vez instalado, o trojan bancário solicitará a permissão de acessibilidade – que é uma ferramenta presente em todos os celulares Android que permitem que pessoas com deficiência física usem o dispositivo. Para convencer a pessoa a autorizar essa permissão, o vírus mostra uma mensagem de “atualização” necessária do app falso – ela será apresentada até que a vítima aceite. Essa etapa é essencial, pois o golpe não ocorrerá sem ela.
De acordo com a polícia, a quadrilha movimentou mais de 50 milhões nos últimos anos. / TV Tem
PF investiga tentativas de ataque contra sites de STJ e CNJ
Em 5 de Março, os sites de Superior Tribunal de Justiça (STJ) e Conselho Nacional de Justiça (CNJ) foram atacados, causando instabilidade mas não indisponibilidade. De acordo com apuração da CNN, a PF já conhece o apelido do atacante. / CNN
Sobre o Brasil
Brasil é um dos principais destaques em relatório da Recorded Future sobre o rastreamento de infraestrutura maliciosa
Brasil é destaque em relatório da Recorded Future sobre o rastreamento de infraestrutura maliciosa em 2024. No relatório de análise de ameaças CTA-2025-0228, intitulado 2024 Malicious Infrastructure Report (PDF), Brasil registrou junto com Estados Unidos (América do Norte), Angola (África), França (Europa), Índia (Ásia) e Austrália (Oceania) o maior número de vítimas em suas respectivas regiões.
Na América do Sul, o Brasil registrou o maior número de vítimas únicas, representando 86% do total da região, apesar de representar apenas cerca de metade da população do continente. Anteriormente identificado [Trend Micro 2023] como um dos países mais vulneráveis a ciberataques, o Brasil é há muito tempo um ponto de acesso para ameaças cibernéticas globais e locais, ocupando um lugar de destaque na atividade de cibercrime, com grupos como o Grandoreiro operando quase exclusivamente dentro de suas fronteiras. Em 2024, as infecções por QuasarRAT foram as mais prevalentes entre as vítimas brasileiras, seguidas pelas infecções ligadas ao AsyncRAT e ao SectopRAT.
Segundo a Recorded Future, as três principais famílias de malware observadas no Brasil em termos de vítimas únicas são QuasarRAT, AsyncRAT e SectopRAT - nesta ordem. / Recorded Future
Brasil é o número 1 em infecções de malware para Android Vo1d
Em 27 de Fevereiro, o XLab, grupo de pesquisa da empresa de segurança Chinesa QAX, revelou uma nova variante do Vo1d, malware para Android focado em aparelhos de TV e set-top box. Nesse post, que detalha os vários estágios e componentes do malware, o Brasil é destacado como o país com mais infecções - 24,97% dos 1,6 milhão de sistemas infectados. Não é a primeira vez que o Brasil se destaca em infecções de Vo1d: em Setembro de 2024, a Doctor Web relatou que o país representava 28% das infecções.
O malware tem a capacidade de baixar e instalar software secretamente. A Doctor Web levantou algumas possíveis explicações para a escolha desse tipo de dispositivo, uma delas se destaca no contexto do Brasil, onde há um grande mercado clandestino de set-top box baseado em Android e assinaturas ilegais.
Uma possível razão pela qual os atacantes que distribuem o Android.Vo1d escolheram especificamente as set-top boxes de TV é que esses dispositivos geralmente possuem versões desatualizadas do Android, que têm vulnerabilidades não corrigidas e não são mais suportadas com atualizações. Por exemplo, os usuários que nos contactaram têm modelos baseados no Android 7.1, apesar de, para alguns deles, a configuração indicar versões muito mais recentes, como o Android 10 e o Android 12.
Os TV box destacados pela Doctor Web são R4, TV BOX e KJ-SMART4KVIP / QAX XLab
Também foi interessante
Chefe de facção contrata hacker para incluir um pedido de soltura
Sandro da Silva Rabelo, conhecido como Sandro Louco, foi acusado de contratar um hacker para forjar dados em um sistema da Justiça (BNMP 2.0), incluindo um pedido de soltura. / TV Centro América
Canaltech investiga bets não autorizadas no Brasil supostamente enviando SMS com malware
Em 27 de Fevereiro, o Canaltech publicou uma matéria sobre o envio em massa de mensagens de texto (SMS) por bets que não estão autorizadas a operar no país. De acordo com a apuração, as mensagens possivelmente continham malware.
Dos 19 links analisados, os técnicos identificaram que quase metade (47%) dos endereços online carregavam algum tipo de malware ou ameaça de phishing. Outros 21% eram suspeitos e o restante não continha ameaça alguma.
Infelizmente, a matéria não inclui indicadores de comprometimento (IOC), portanto não é possível caçar por evidências desse ataque e provar as alegações feitas pelos profissionais consultados. O uso de encurtadores de URL indica a intenção de contornar filtros de conteúdo. / Canaltech
Curso gratuito ensina idosos a se protegerem de golpes
A Universidade Católica de Brasília (UCB) abriu vagas para um curso gratuito de informática básica voltado para idosos, incluindo aulas sobre como se proteger de fraudes, fake news e desinformação. São 565 vagas. / Metrópoles
Perdi alguma coisa, sugestões, críticas? Entre em contato pelo Substack ou @ronaldotcom (Blue Sky). Aumento minhas fontes a cada dia, mas posso falhar como qualquer um dos seus fornecedores de threat intel ;-)