Se trata de cibercriminales considerados hace mucho tiempo como los más creativos inventores de malware y que ahora comenzaron a exportar sus programas maliciosos para robar.
Son cuatro familias bancarias avanzadas conocidas como Guildma, Javali, Melcoz y Grandoreiro, según establecieron los investigadores de Kaspersky. Atacan a usuarios en América del Norte, Europa y ahora también América Latina. Son conocidas como Tetrade y representan las innovaciones más recientes en malware bancario, ya que implementaron una gran variedad de nuevas técnicas de evasión.
Estos malware también son conocidos como troyanos bancarios con los cuales roban credenciales para el pago electrónico y los sistemas bancarios en línea para desviar fondos de las cuentas de las víctimas.
Desde el 2011 algunos comenzaron a experimentar la exportación de troyanos básicos al extranjero, aunque con un éxito limitado. Ahora, en 2020, estas cuatro familias implementaron innovaciones para ser distribuidos a todo el mundo, según indicó Kaspersky.
¿Cómo funcionan?
Guildma existe desde 2015 y actúa principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas.
Ahora Guildma logró nuevas técnicas de evasión y es especialmente difícil de detectar. A partir de 2019 comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Este es uno de los que está llegando a otros países de América latina.
Otro troyano bancario local se lo conoce como Javali, el cual está activo desde 2017 y también se lo detectó fuera de Brasil. Está dirigido a clientes bancarios en México y también se propaga a través de correos electrónicos de phishing y comenzó a usar YouTube para alojar sus comunicaciones C2.
En el caso de Melcoz está desde 2018, y desde allí se expandió al extranjero, como México y España.
Por último, Grandoreiro comenzó a dirigirse a usuarios en América Latina antes de expandirse a países de Europa. De las cuatro familias, esta es la más extendida. Está desde 2016 y tiene un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.
Esta familia se distribuye a través de sitios web infectados, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.
Fuente: Infotechnology
