- BankGhost Builder é anunciado no Telegram como kit pronto para fraude bancária
- Ferramenta cobre mais de 700 bancos na Índia, Europa, Ásia e América do Norte
- Modelo malware-as-a-service amplia risco para usuários de exchanges cripto
Uma nova ferramenta de fraude bancária está sendo comercializada abertamente em canais do Telegram e mira mais de 700 instituições financeiras em quatro continentes. Batizada de BankGhost Builder, a plataforma é vendida no modelo malware-as-a-service e promete entregar tudo o que um criminoso precisa para invadir contas da geração do payload à infraestrutura de phishing.
O alerta foi publicado pela empresa de cibersegurança iZOO Logic, que monitora anúncios criminosos em fóruns clandestinos. Segundo a firma, o builder é apresentado como um kit completo, gera o malware sob medida, hospeda páginas falsas e coleta credenciais bancárias em um único painel.
A lista de alvos divulgada pelos operadores inclui bancos da Índia, América do Norte, Europa e Ásia-Pacífico. Não há, até o momento, menção explícita a instituições brasileiras na propaganda do produto o que não significa que clientes locais estejam fora do raio de ataque, já que muitos bancos globais citados operam no país.
Como funciona o modelo malware-as-a-service
O termo descreve uma evolução do cibercrime nos últimos cinco anos. Em vez de programar o próprio vírus, o golpista aluga ou compra acesso a uma ferramenta pronta. Paga uma mensalidade, recebe suporte e atualizações. O modelo replica, no submundo, a lógica do software-as-a-service usado por empresas legítimas.
Isso baixa drasticamente a barreira técnica de entrada. Um operador sem habilidade de programação consegue, em horas, montar uma campanha de roubo de credenciais contra dezenas de bancos. A iZOO Logic afirma que o BankGhost reúne em uma só interface a geração de malware, kits de phishing e mecanismos de exfiltração de dados.
O risco para o ecossistema cripto é direto. Muitos brasileiros usam o mesmo navegador, o mesmo celular e, frequentemente, as mesmas senhas para acessar o internet banking e exchanges. Uma vez que credenciais bancárias caem em mãos erradas, o passo seguinte costuma ser o ataque a contas de corretoras vinculadas ao mesmo CPF e ao mesmo dispositivo.
Impacto para investidores de cripto no Brasil
O Brasil já lida com um cenário hostil. Em outubro, um megavazamento de 263 GB expôs dados pessoais de milhões de brasileiros, alimentando exatamente o tipo de operação que ferramentas como o BankGhost automatizam. Telefone, CPF, endereço e renda servem de matéria-prima para mensagens de phishing personalizadas bem mais convincentes do que o golpe genérico de SMS.
A combinação é perigosa. Vazamentos abastecem listas de alvos. Builders como o BankGhost transformam essas listas em campanhas escaláveis. E a maioria das exchanges brasileiras autentica saques via SMS ou aplicativo, dois vetores comprometidos quando o atacante já está dentro do celular da vítima.
O problema não é exclusivo da fraude bancária tradicional. Reportagens recentes sobre exploits criados com ajuda de IA mostram que o cibercrime entrou em uma fase de industrialização acelerada. Modelos de linguagem aceleram a escrita de código malicioso. Plataformas como o BankGhost empacotam o produto final. O resultado é um pipeline criminoso cada vez mais profissional.
O que fazer para reduzir o risco
A iZOO Logic recomenda que instituições financeiras monitorem infraestrutura suspeita, atividade de coleta de credenciais e campanhas de phishing associadas a ferramentas emergentes. Usuários reduzem exposição separando navegadores, ativando autenticação dedicada e mantendo chaves privadas longe de dispositivos bancários conectados.
Carteiras de hardware seguem como a barreira mais eficiente contra ataques desse tipo. Mesmo que o atacante controle o computador da vítima, não consegue assinar transações sem a confirmação física no dispositivo. Para quem mantém saldos relevantes em exchanges, o uso de whitelist de endereços de saque corta boa parte do dano potencial em caso de invasão.
A iZOO Logic divulgou os detalhes técnicos da operação em comunicado da própria empresa. A firma classifica o aparecimento do builder como mais um sinal de que o ataque a bancos e seus clientes virou commodity no submundo digital.
