I criminali informatici brasiliani, a lungo considerati come alcuni dei più creativi creatori di malware, hanno iniziato a diffondere i loro originali programmi malevoli oltre i confini del loro Paese. Secondo i ricercatori di Kaspersky, quattro famiglie di malware bancari avanzati – Guildma, Javali, Melcoz e Grandoreiro – hanno iniziato a prendere di mira gli utenti in Nord America, Europa e America Latina. Conosciute collettivamente come Tetrade, rappresentano la più recente innovazione in termini di malware bancari grazie all’implementazione di una varietà di nuove tecniche di evasione.
Il Brasile, patria di alcuni dei più attivi e creativi criminali informatici moderni è stato a lungo un hotspot per i Trojan bancari. Si tratta di malware che rubano le credenziali dei sistemi di pagamento elettronico e di online banking con l’obiettivo di appropriarsi dei fondi presenti sui conti delle vittime. In passato, i criminali brasiliani prendevano di mira principalmente i clienti delle istituzioni finanziarie locali. Dall’inizio del 2011 però, la situazione è cambiata, infatti, alcuni gruppi hanno iniziato a sperimentare l’esportazione di trojan non avanzati all’estero, riscuotendo un successo limitato. Nel 2020, invece, quattro famiglie di malware, note come Tetrade, hanno implementato le innovazioni necessarie per essere diffusi con successo in tutto il mondo.
Guildma, una di queste famiglie di malware è attiva dal 2015 e si diffonde principalmente attraverso e-mail di phishing che si fingono comunicazioni o notifiche aziendali legittime.
Sin dalla sua scoperta Guildma ha acquisito diverse nuove tecniche di evasione rendendo particolarmente difficile il suo rilevamento. A partire dal 2019, Guildma ha iniziato a nascondere il payload dannoso all’interno del sistema della vittima utilizzando un formato speciale di file. Inoltre, Guildma archivia le comunicazioni con il server di controllo in un formato criptato sulle pagine di Facebook e YouTube. Questo rende il traffico di comunicazione difficile da identificare come dannoso e, poiché nessun antivirus blocca questi due siti web, il server di controllo esegue i comandi senza essere interrotto. Nel 2015, Guildma era attivo esclusivamente in Brasile. Oggi è diffuso in Sudamerica, Stati Uniti, Portogallo e Spagna.
Anche un altro Trojan bancario locale attivo dal 2017 e noto come Javali è stato individuato fuori dai confini brasiliani mentre prendeva di mira i clienti bancari in Messico. Come Guildma, si diffonde tramite e-mail di phishing e ha iniziato a utilizzare YouTube per ospitare le comunicazioni C2.
Melcoz, la terza famiglia di malware è attiva dal 2018 e si è diffusa in Paesi come Messico e Spagna.
Grandoreiro, invece, ha iniziato a rivolgersi a utenti con sede in America Latina prima di espandersi nei Paesi europei. Tra le quattro famiglie di malware è la più diffusa. È attivo dal 2016 e segue un modello di business malware-as-a-service. Questo modello di business prevede che diversi cybercriminali possano acquistare l’accesso agli strumenti necessari per lanciare l’attacco. Grandoreiro viene distribuito attraverso siti web compromessi, così come attraverso lo spearphishing. Come Guildma e Javali, nasconde le sue comunicazioni C2 su siti web di terzi legittimi.
“I criminali brasiliani, compresi quelli che si nascondono dietro a queste quattro famiglie di trojan bancari, per poter esportare con successo il proprio malware in tutto il mondo stanno reclutando affiliati in altri Paesi. Inoltre, continuano ad innovarsi e ad aggiungere nuove strategie e tecniche per nascondere la loro attività dannosa e rendere i loro attacchi più redditizi. Ci aspettiamo che queste famiglie di malware comincino ad attaccare un numero sempre maggiore di banche in altri Paesi e che ne sorgano di nuove. Ecco perché è così importante per le istituzioni finanziarie monitorare attentamente questo tipo di minacce e prendere provvedimenti per potenziare la propria capacità antifrode”, ha commenta Dmitry Bestuzhev, head of GReAT, America Latina.
È possibile trovare maggiori informazioni su queste sofisticate famiglie di malware bancari su Securelist.
Per proteggersi dai trojan bancari gli esperti di Kaspersky raccomandano agli istituti finanziari di:
- Fornire al team SOC l’accesso alla Threat Intelligence più recente in modo che siano sempre aggiornati su strumenti, tecniche e tattiche nuove ed emergenti utilizzate dagli attori delle minacce e dai criminali informatici. Ad esempio, Kaspersky Financial Threat Intelligence Reporting contiene IoC (Indicatore di Compromissione), regole Yara e hash per questo tipo di minacce.
- Informare i clienti sui possibili trucchi utilizzati dai criminali informatici e su come identificare le frodi e comportarsi in situazioni simili.