Brasil, cuna de los ciberdelincuentes más activos y creativos, ha sido durante mucho tiempo un punto de referencia para los troyanos bancarios, un malware que roba las credenciales de los sistemas de pago electrónico y de banca online para que los delincuentes puedan desviar fondos de las cuentas de las víctimas. En el pasado, los ciberdelincuentes brasileños se dirigían principalmente a clientes de instituciones financieras locales. Sin embargo, a principios de 2011 esto empezó a cambiar y algunos grupos comenzaron a experimentar con la exportación de troyanos básicos a otros países, con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han puesto en práctica las innovaciones necesarias para ser distribuidas por todo el mundo.
Una de las familias, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de comunicaciones o notificaciones comerciales legítimas.
Desde su descubrimiento inicial, Guildma ha ido incorporando nuevas técnicas de evasión, lo que lo hace particularmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga útil maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, es difícil detectar como malicioso el tráfico de comunicación, y como ningún antivirus bloquea dichos sitios web, garantiza que el servidor de control pueda ejecutar comandos sin interrupciones.
En 2015, Guildma actuaba exclusivamente en Brasil. Ahora se ha extendido por España, Portugal, América del Sur y Estados Unidos.
Otro troyano bancario local conocido como Javali (activo desde 2017), también ha sido visto fuera de Brasil, apuntando a clientes de entidades financieras en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a utilizar YouTube para alojar sus comunicaciones C2.
La tercera familia, Melcoz, ha estado activa desde 2018, y desde entonces se ha expandido en el extranjero, en países como España y México.
Por último, Grandoreiro comenzó a dirigirse a usuarios de América Latina antes de expandirse a países de Europa. De las cuatro familias, es la más extendida. Está activo desde 2016 y responde aun modelo de negocio de malware como servicio: diferentes ciberdelincuentes pueden adquirir acceso a las herramientas necesarias para lanzar un ataque.
Esta familia se distribuye a través de sitios web comprometidos, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.
"Los ciberdelincuentes brasileños, como los que están detrás de estas cuatro familias bancarias, están reclutando activamente a afiliados en otros países para exportar con éxito su malware a todo el mundo. Además, están innovando continuamente, añadiendo nuevos trucos y técnicas para ocultar su actividad maliciosa y hacer que sus ataques sean más lucrativos. Es previsible que estas cuatro familias empiecen a atacar más bancos en otros países y que aparezcan nuevas familias. Por eso es tan importante que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para potenciar sus capacidades antifraude", comenta Dmitry Bestuzhev, director de GReAT, América Latina.
Conozca más sobre estas sofisticadas familias bancarias en Securelist.
Para proteger su institución financiera de estos cuatro troyanos bancarios y otros, los expertos de Kaspersky recomiendan: