This post is also available in: Português
Utilizando Tetrade, e sendo considerados um dos mais criativos na criação de malware, os cibercriminosos brasileiros realizam fraudes e golpes bancários fora do país.
Segundo uma pesquisa realizada pela Kaspersky, quatro famílias de trojans bancários atuam na Europa e América Latina, mostrando interesse em atuar também na América do Norte.
Essa tendência foi nomeada como Tetrade, por se tratar de quatro Trojans (Guildma, Javali, Mecoz e Grandoeiro), traz as últimas inovações em malware bancários e técnicas de evasão e ocultamento.
O Brasil é um dos países que mais rouba credenciais de sistemas de pagamento online e Internet Banking. Mas, os cibercriminosos brasileiros sempre apresentaram uma atuação local, focando seus golpes contra os bancos nacionais.
A internacionalização destes ataques se iniciou em 2011, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada.
Porém, a família Tetrade trouxe inovação, permitindo expansão mundo afora e consolidam o país como exportador de malware.
O Trojan Guildma está ativo desde 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas.
Desde que foi descoberto, o Guildma incorporou várias técnicas de ocultação que o tornaram difícil de detectar. A partir de 2019, ele começou a armazenar seus módulos no disco usando um formato de arquivo especial, dificultando a identificação no computador da vítima.
Além disso, o Guildma salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do Youtube, tornando sua classificação como malicioso mais complicada, por se tratar de sites muito populares. Assim, o servidor de controle pode ser utilizado pelo malware por muito mais tempo.
Já o Javali está ativo desde 2017 e foram identificados ataques contra clientes no México. Ele também se dissemina por phishing e começou a usar o YouTube para hospedar sua comunicação C2.
A família Melcoz está ativa desde 2018 e se espalhou em países como México, Espanha e Portugal.
A última família que compõe essa Tetrade, Grandoeiro, está ativa desde 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque. Mirou usuários na América Latina antes de se expandir para a Europa e é distribuída por meio de sites comprometidos e por spear phishing.
Assim como o Guildma e o Javali, o Grandoeiro oculta a comunicação C2 em sites legítimos de terceiros.
Fonte: CYWARE.
This post is also available in: Português