Los cibercriminales brasileños, considerados desde hace mucho tiempo como los más creativos generadores de malware, — término se utiliza para hablar de todo tipo de amenazas informáticas o software hostil– han comenzado a exportar sus programas maliciosos originales.
Según los investigadores de Kaspersky, cuatro familias bancarias avanzadas (Guildma, Javali, Melcoz y Grandoreiro) han comenzado a dirigirse a usuarios en América del Norte, Europa y América Latina.
SON LOS TETRADE
En conjunto, estas cuatro familias son conocidas como Tetrade y representan las innovaciones más recientes en malware bancario, ya que han implementado una variedad de nuevas técnicas de evasión.
Brasil, hogar de algunos de los ciberdelincuentes más activos y creativos de la actualidad, ha sido durante mucho tiempo un foco de troyanos bancarios -el malware que roba credenciales para el pago electrónico y los sistemas bancarios en línea- de manera que los delincuentes puedan desviar fondos de las cuentas de las víctimas. Sin embargo, en el pasado, los criminales brasileños dirigían sus actividades principalmente a clientes de instituciones financieras locales. Eso cambió a principios de 2011, cuando algunos grupos comenzaron a experimentar con la exportación de troyanos básicos al extranjero, aunque con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para ser distribuidas a todo el mundo.
LOS GUILDMA CON SUS MENSAJES ILEGÍTIMOS
Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas.
Desde su descubrimiento inicial, Guildma ha adquirido varias técnicas nuevas de evasión, por lo que es especialmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, el tráfico de la comunicación es difícil de detectar como malicioso y, dado que ningún antivirus bloquea ninguno de esos sitios web, garantiza que el servidor de control pueda ejecutar órdenes sin interrupciones.
En 2015, Guildma estuvo activo exclusivamente en Brasil. Ahora está muy extendido en Sudamérica, Estados Unidos, Portugal y España.
EL JAVALI PENETRA POR CORREOS ELECTRÓNICOS
Otro troyano bancario local, conocido como Javali (activo desde 2017), también se ha visto fuera de Brasil, dirigido a clientes bancarios en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a usar YouTube para alojar sus comunicaciones C2.
MELCOZ Y GRANDOREIRO
La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, en países como México y España
Por último, pero no menos importante, Grandoreiro comenzó a dirigirse a usuarios en América Latina antes de expandirse a países de Europa. De las cuatro familias, esta es la más extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.
Esta familia se distribuye a través de sitios web infectados, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.
“Los delincuentes brasileños, quienes están detrás de estas cuatro familias bancarias, reclutan activamente afiliados en otros países para exportar con éxito su malware a todo el mundo. Además, continuamente están innovando, agregando nuevos trucos y técnicas para ocultar su actividad maliciosa y hacer que sus ataques sean más lucrativos. Anticipamos que estas cuatro familias comiencen a atacar a más bancos en países adicionales y que surjan nuevas familias. Por eso es esencial que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para aumentar sus capacidades contra el fraude», comenta Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky América Latina. (grs).
También puede leer:
