Los cibercriminales brasileños, considerados desde hace mucho tiempo como los más creativos generadores de malware, han comenzado a exportar sus programas maliciosos originales. Según los investigadores de Kaspersky, cuatro familias bancarias avanzadas (Guildma, Javali, Melcoz y Grandoreiro) han comenzado a dirigirse a usuarios en América del Norte, Europa y América Latina. En conjunto, estas cuatro familias son conocidas como Tetrade y representan las innovaciones más recientes en malware bancario, ya que han implementado una variedad de nuevas técnicas de evasión.
Brasil, hogar de algunos de los ciberdelincuentes más activos y creativos de la actualidad, ha sido durante mucho tiempo un foco de troyanos bancarios -el malware que roba credenciales para el pago electrónico y los sistemas bancarios en línea- de manera que los delincuentes puedan desviar fondos de las cuentas de las víctimas. Sin embargo, en el pasado, los criminales brasileños dirigían sus actividades principalmente a clientes de instituciones financieras locales. Eso cambió a principios de 2011, cuando algunos grupos comenzaron a experimentar con la exportación de troyanos básicos al extranjero, aunque con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para ser distribuidas a todo el mundo.
Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas.
Desde su descubrimiento inicial, Guildma ha adquirido varias técnicas nuevas de evasión, por lo que es especialmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, el tráfico de la comunicación es difícil de detectar como malicioso y, dado que ningún antivirus bloquea ninguno de esos sitios web, garantiza que el servidor de control pueda ejecutar órdenes sin interrupciones.
En 2015, Guildma estuvo activo exclusivamente en Brasil. Ahora está muy extendido en Sudamérica, Estados Unidos, Portugal y España.
Otro troyano bancario local, conocido como Javali (activo desde 2017), también se ha visto fuera de Brasil, dirigido a clientes bancarios en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a usar YouTube para alojar sus comunicaciones C2.
La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, en países como México y España
Por último, pero no menos importante, Grandoreiro comenzó a dirigirse a usuarios en América Latina antes de expandirse a países de Europa. De las cuatro familias, esta es la más extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.
Esta familia se distribuye a través de sitios web infectados, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.
“Los delincuentes brasileños, quienes están detrás de estas cuatro familias bancarias, reclutan activamente afiliados en otros países para exportar con éxito su malware a todo el mundo. Además, continuamente están innovando, agregando nuevos trucos y técnicas para ocultar su actividad maliciosa y hacer que sus ataques sean más lucrativos. Anticipamos que estas cuatro familias comiencen a atacar a más bancos en países adicionales y que surjan nuevas familias. Por eso es esencial que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para aumentar sus capacidades contra el fraude», comenta Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky América Latina.
Para proteger a su institución financiera contra estos cuatro troyanos bancarios y otros, los expertos de Kaspersky recomiendan:
• Proporcione a su equipo del centro de operaciones de seguridad (SOC) acceso a la Inteligencia de amenazas más reciente para mantenerles actualizados sobre herramientas, técnicas y tácticas nuevas y emergentes utilizadas por agentes de amenazas y cibercriminales. Por ejemplo, Kaspersky Financial Threat Intelligence Reporting contiene IoC, reglas Yara y hashes para estas amenazas.
• Eduque a sus clientes sobre los posibles trucos que pueden usar los malhechores. Envíeles regularmente información sobre cómo identificar el fraude y comportarse en esta situación.
• Implemente una solución antifraude que sea capaz de detectar casos sofisticados de fraude. Por ejemplo, Kaspersky Fraud Prevention, una solución antifraude basada en sesiones, puede combatir no solo los intentos maliciosos (inyección de JavaScript, conexión oculta de herramientas de administración remota y uso del sitio web) en la etapa de incubación del robo de dinero, sino que posteriormente también identifica el comportamiento inusual en las cuentas