Cibercriminales brasileños lanzan nueva generación de malware bancario
Cibercriminales brasileños, considerados desde hace mucho tiempo como los más creativos generadores de malware, han comenzado a exportar sus programas maliciosos originales. Según los investigadores de Kaspersky, cuatro familias bancarias avanzadas (Guildma, Javali, Melcoz y Grandoreiro) han comenzado a dirigirse a usuarios en América del Norte, Europa y América Latina.
En conjunto, estas cuatro familias son conocidas como Tetrade y representan las innovaciones más recientes en malware bancario, ya que han implementado una variedad de nuevas técnicas de evasión.
Brasil, hogar de algunos de los ciberdelincuentes más activos y creativos de la actualidad, ha sido durante mucho tiempo un foco de troyanos bancarios -el malware que roba credenciales para el pago electrónico y los sistemas bancarios en línea- de manera que los delincuentes puedan desviar fondos de las cuentas de las víctimas. Sin embargo, en el pasado, los criminales brasileños dirigían sus actividades principalmente a clientes de instituciones financieras locales.
Eso cambió a principios de 2011, cuando algunos grupos comenzaron a experimentar con la exportación de troyanos básicos al extranjero, aunque con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para ser distribuidas a todo el mundo.
Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas.
Desde su descubrimiento inicial, Guildma ha adquirido varias técnicas nuevas de evasión, por lo que es especialmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial.
Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, el tráfico de la comunicación es difícil de detectar como malicioso y, dado que ningún antivirus bloquea ninguno de esos sitios web, garantiza que el servidor de control pueda ejecutar órdenes sin interrupciones.
En 2015, Guildma estuvo activo exclusivamente en Brasil. Ahora está muy extendido en Sudamérica, Estados Unidos, Portugal y España.
Otro troyano bancario local, conocido como Javali (activo desde 2017), también se ha visto fuera de Brasil, dirigido a clientes bancarios en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a usar YouTube para alojar sus comunicaciones C2.
La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, en países como México y España
Por último, pero no menos importante, Grandoreiro comenzó a dirigirse a usuarios en América Latina antes de expandirse a países de Europa. De las cuatro familias, esta es la más extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.
Esta familia se distribuye a través de sitios web infectados, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.