0
0
De acordo com pesquisadores da Kaspersky, quatro famílias de trojans bancários atuam em bancos na Europa e América Latina
Cibercriminosos brasileiros, considerados um dos mais criativos na criação de malware, estão realizando fraudes bancárias fora do País.
De acordo com pesquisadores da Kaspersky, quatro famílias de trojans bancários – nomeados de Guildma, Javali, Melcoz e Grandoreiro – atuam na Europa e América Latina, mas também mostram interesse em fazer vítimas em bancos da América do Norte e China.
Esta tendência foi nomeada como Tetrade e o conjunto de trojans traz as últimas inovações em malware bancários em técnicas de evasão e ocultamento em bancos
O Brasil é um dos países mais ativos e criativos quando se trata de ameaças financeiras , ou seja, malware que rouba credenciais de sistemas de pagamento online e Internet Banking para roubar o dinheiro de suas vítimas.
No entanto, estes criminosos apresentavam uma atuação local, focando seus golpes contra bancos com atuação nacional. No início de 2011 , houve um início de internacionalização destes ataques, quando alguns grupos começaram a fazer experiências ao exportar trojans com códigos simples e taxa de sucesso limitada, ações essas que não foram continuadas.
Porém, o que vemos nessas quatro famílias nomeadas como Tetrade são inovações que permitiram a expansão mundo afora e consolidaram o País como exportador de malware.
Um deles, o Guildma, está ativo desde pelo menos 2015 e se espalha principalmente por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas.
Desde a sua descoberta, o Guildma incorporou várias técnicas de ocultação que o tornaram difícil de detectar. A partir de 2019, ele começou a armazenar seus módulos no disco usando um formato de arquivo especial, dificultando a identificação destes arquivos no computador da vítima.
Além disso, ele salva a comunicação com o servidor de controle de forma criptografada em páginas do Facebook e do YouTube, tornando sua classificação como malicioso mais complicada por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo.
Já o trojan bancário nomeado como Javali está ativo desde 2017 e foi identificado ataques contra clientes de bancos no México. Da mesma forma que o Guildma, ele também se dissemina por e-mails de phishing e começou a usar o YouTube para hospedar sua comunicação C2.
A terceira família, Melcoz, está ativa desde pelo menos 2018 e se espalhou em países como México e Espanha.
Finalmente e igualmente importante, o Grandoreiro começou a mirar usuários na América Latina antes de se expandir para países da Europa. Está ativo desde pelo menos 2016 e segue um modelo de negócios de malware como serviço, em que cibercriminosos locais podem comprar o acesso às ferramentas necessárias para lançar um ataque.
Essa família é distribuída por meio de sites comprometidos e por spearphishing. Como o Guildma e o Javali, ela oculta a comunicação C2 em sites legítimos de terceiros.
“Os criminosos brasileiros, como os que estão por trás dessas quatro famílias de malware bancário, estão recrutando ativamente afiliados em outros países para exportar suas ameaças para o mundo inteiro.”
Além disso, eles continuam inovando, adicionando novos artifícios e técnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos. Nossa previsão é de que essas quatro famílias comecem a atacar outros bancos em outros países e que apareçam novas famílias.”
“Por isso, é extremamente importante para as instituições financeiras monitorar essas ameaças de perto e tomar medidas para reforçar seus recursos antifraude”, comenta Dmitry Bestuzhev, chefe da Equipe GReAT na América Latina.
Para proteger sua instituição financeira desses quatro trojans com foco em bancos, os especialistas da Kaspersky recomendam:
• Dê acesso à equipe de seu centro de operações de segurança aos relatórios de inteligência mais recentes para que ela esteja sempre atualizada com as novas ferramentas, técnicas e táticas usadas pelos grupos especializados. Os relatórios de inteligência de ameaças financeiras da Kaspersky contêm os índices de comprometimentos, regras da YARA e hashes dessas ameaças, que podem ser usados para identifica-las em equipamentos comprometidos.
• Informe os seus clientes sobre os truques que os criminosos empregam. Envie informações regularmente a eles sobre como identificar fraudes e como removê-las no app e website de seus bancos.
FONTE: CRYPTOID