Guildma, Javaliu, Melcoz y Grandoreiro, las nuevas familias de malware que atacan a usuarios españoles

Recomendados:  Haz que tu programa de seguridad del software tenga éxito Leer  La solución SAST para proteger la ciberseguridad de los bancos Webinar

Los ciberdelincuentes brasileños, considerados durante mucho tiempo como unos de los creadores de malware más creativos, han comenzado a llevar sus programas maliciosos originales fuera del país. Según los investigadores de Kaspersky, cuatro familias de troyanos bancarios avanzados: Guildma, Javali, Melcoz y Grandoreiro, colectivamente conocidos como Tetrade, han comenzado a apuntar a usuarios en Norteamérica, Europa y Latinoamérica, para lo que han implementado una variedad de nuevas técnicas de evasión.

Brasil ha sido durante mucho tiempo un punto de acceso para los troyanos bancarios: malware que roba credenciales para el pago electrónico y los sistemas bancarios online para que los delincuentes puedan desviar fondos de las cuentas de las víctimas. Sin embargo, en el pasado, los delincuentes brasileños apuntaban principalmente a clientes de instituciones financieras locales. Eso cambió a principios de 2011, cuando algunos grupos comenzaron a experimentar con la exportación de troyanos al extranjero, con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para llevar su distribución a todo el mundo.

Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas. Desde su descubrimiento inicial, Guildma ha adquirido varias técnicas de evasión nuevas, por lo que es particularmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, es difícil de detectar como malicioso y, dado que ningún antivirus bloquea ninguno de esos sitios web, asegura que el servidor de control pueda ejecutar comandos sin interrupciones. Actualmente, Guildma está muy extendido en Sudamérica, Estados Unidos, Portugal y España.

Otro troyano bancario local conocido como Javali (activo desde 2017), también se ha visto fuera de Brasil, dirigido a clientes bancarios en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a usar YouTube para alojar sus comunicaciones C2. La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, a países como México y España.

Por último, Grandoreiro comenzó a apuntar a usuarios en Latinoamérica antes de expandirse a países de Europa. De las cuatro familias, es la más extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio: diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque. Esta familia se distribuye a través de sitios web comprometidos, así como a través de via spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.

“Los delincuentes brasileños, como los que están detrás de estas cuatro familias de malware, están reclutando activamente afiliados en otros países para exportar con éxito su malware a todo el mundo. Además, están continuamente innovando, agregando nuevos trucos y técnicas para ocultar su actividad maliciosa y hacer que sus ataques sean más lucrativos. Se espera que estas cuatro familias comiencen a atacar a más bancos en países adicionales y que surjan nuevas familias. Por eso es tan importante que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para aumentar sus capacidades contra el fraude ", comenta Dmitry Bestuzhev, director de GReAT en Latinoamérica.