www.economiadehoy.es

Tetrade: ciberdelincuentes brasileños propagan por el mundo la próxima generación de malware bancario

Tetrade: ciberdelincuentes brasileños propagan por el mundo la próxima generación de malware bancario
martes 28 de julio de 2020, 10:53h
Varias de estas familias están atacando a usuarios en España. id:61476
Los ciberdelincuentes brasileños, considerados durante mucho tiempo como unos de los creadores de malware más creativos, han comenzado a extender sus programas maliciosos más allá de sus fronteras. Según investigadores de Kaspersky, cuatro familias avanzadas de malware bancario -Guildma, Javali, Melcoz y Grandoreiro- han empezado a dirigirse a usuarios de América del Norte, Europa y América Latina. Conocidas como Tetrade, representan la última innovación en materia de malware bancario, con variedad de nuevas técnicas de evasión desplegadas.

Brasil, cuna de los ciberdelincuentes más activos y creativos, ha sido durante mucho tiempo un punto de referencia para los troyanos bancarios, un malware que roba las credenciales de los sistemas de pago electrónico y de banca online para que los delincuentes puedan desviar fondos de las cuentas de las víctimas. En el pasado, los ciberdelincuentes brasileños se dirigían principalmente a clientes de instituciones financieras locales. Sin embargo, a principios de 2011 esto empezó a cambiar y algunos grupos comenzaron a experimentar con la exportación de troyanos básicos a otros países, con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han puesto en práctica las innovaciones necesarias para ser distribuidas por todo el mundo.

Una de las familias, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de comunicaciones o notificaciones comerciales legítimas.

Desde su descubrimiento inicial, Guildma ha ido incorporando nuevas técnicas de evasión, lo que lo hace particularmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga útil maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, es difícil detectar como malicioso el tráfico de comunicación, y como ningún antivirus bloquea dichos sitios web, garantiza que el servidor de control pueda ejecutar comandos sin interrupciones.

En 2015, Guildma actuaba exclusivamente en Brasil. Ahora se ha extendido por España, Portugal, América del Sur y Estados Unidos.

Otro troyano bancario local conocido como Javali (activo desde 2017), también ha sido visto fuera de Brasil, apuntando a clientes de entidades financieras en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a utilizar YouTube para alojar sus comunicaciones C2.

La tercera familia, Melcoz, ha estado activa desde 2018, y desde entonces se ha expandido en el extranjero, en países como España y México.

Por último, Grandoreiro comenzó a dirigirse a usuarios de América Latina antes de expandirse a países de Europa. De las cuatro familias, es la más extendida. Está activo desde 2016 y responde aun modelo de negocio de malware como servicio: diferentes ciberdelincuentes pueden adquirir acceso a las herramientas necesarias para lanzar un ataque.

Esta familia se distribuye a través de sitios web comprometidos, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.

"Los ciberdelincuentes brasileños, como los que están detrás de estas cuatro familias bancarias, están reclutando activamente a afiliados en otros países para exportar con éxito su malware a todo el mundo. Además, están innovando continuamente, añadiendo nuevos trucos y técnicas para ocultar su actividad maliciosa y hacer que sus ataques sean más lucrativos. Es previsible que estas cuatro familias empiecen a atacar más bancos en otros países y que aparezcan nuevas familias. Por eso es tan importante que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para potenciar sus capacidades antifraude", comenta Dmitry Bestuzhev, director de GReAT, América Latina.

Conozca más sobre estas sofisticadas familias bancarias en Securelist.

Para proteger su institución financiera de estos cuatro troyanos bancarios y otros, los expertos de Kaspersky recomiendan:

  • Proporcione a su equipo SOC acceso a la última Inteligencia de Amenazas para mantenerlos al día en las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y cibercriminales. Por ejemplo, la solución Kaspersky ThreatIntelligenceReporting contiene IoCs, reglas de Yara y hashes para estas amenazas.
  • Eduque a sus clientes sobre los trucos que pueden utilizar los ciberdelincuentes. Envíeles regularmente información sobre cómo identificar el fraude y comportarse ante esa situación.
  • Implemente una solución antifraude que sea capaz de detectar casos de fraude sofisticados. Por ejemplo, Kaspersky FraudPrevention es una solución antifraude que puede combatir no sólo los intentos maliciosos (inyección de JavaScript, conexión oculta de herramientas de administración remota y uso de sitios web) en la etapa de incubación del robo de dinero, sino también identificar el subsiguiente mal comportamiento en las cuentas.
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


+

0 comentarios