Brasilianische Tetrade-Trojaner zielen auf Finanzinstitute auf der ganzen Welt

Kürzlich haben Cybersicherheitsforscher vier verschiedene Familien brasilianischer Bankentrojaner entdeckt – nämlich Guildma, Javali, Melcoz und Grandoreiro -, die auf Finanzinstitute aus Brasilien, Lateinamerika und Europa abzielen. Kespersky sagt, da viele in Brasilien ansässige Banken auch in Lateinamerika und in Europa tätig sind, scheinen die Gauner es bequem zu finden, ihre Angriffe auf die Kunden dieser Finanzinstitute auszuweiten.

Diese Viren werden als Hintertür wie Tetrade-Malware entwickelt. Verschiedene betrügerische Methoden werden angewendet, um zu verhindern, dass ihr zerstörerisches Verhalten von den Schutzwerkzeugen erkannt wird. Die Nutzdaten für Guildma und Javaeli werden über Phishing-E-Mails verteilt. Komprimierte E-Mail-Anhänge oder HTML-Dateien, die JavaScript-Code ausführen, initiieren den Payload-Injection-Prozess für die Ziele. Darüber hinaus wird der Speicherort der heruntergeladenen Nutzdaten von NTFS Alternate Data Streams ausgeblendet.

Forscher enthüllen, dass Tetrad zusätzliche Module von einem Server herunterlädt, der von Hackern in einem verschlüsselten Format betrieben und auf Facebook und Youtube platziert wird. Um diese Module auszuführen, wird ein irreführender Prozess verwendet, um die schädliche Nutzlast mit einem Prozess zu verbergen, der auf der Whitelist steht, wie z. B. suchost.exe. Nach der Installation überwacht die Malware die spezifischen Bank-Websites. Wenn Benutzer solche Websites verwenden, wird eine Kaskade von Vorgängen gestartet, mit denen die Betrüger betrügerische Transaktionen über ihr Gerät ausführen können.

Malcoz hingegen verwendet VBS-Skripte in Setup-Paketdateien, um die schädlichen Nutzdaten auf den Computer herunterzuladen. Nach der Installation werden der Autolt-Interpreter und der VMware Nat-Dienst missbraucht, um eine schädliche DLL zu laden. Es stiehlt Passwörter aus Zwischenablage-Browsern und auch Bitcoin-Brieftaschen, indem die ursprünglichen Brieftaschendetails ersetzt werden. Forscher erklären dies, da die Malware in den Browsern ein Overlay-Fenster anzeigt, um die Sitzung zu manipulieren, die betrügerische Transaktionen zulässt.

Grandoreiro ist die letzte von Tetrade erkannte Malware. Es hilft den Angreifern, illegale Finanztransfers durchzuführen, indem es die Opfer dazu nutzt, einige Sicherheitsmaßnahmen der Banken zu umgehen. Diese Betrugskampagnen sind seit 2016 in verschiedenen Teilen Brasiliens, Mexikos, Portugals und Spaniens aktiv.

Kaspersky kommt zu dem Schluss, dass die brasilianischen Gauner schnell ein Affiliate-Netzwerk aufbauen – sie stellen Computerkriminelle ein, um in anderen Ländern zu operieren, nutzen Malware-as-a-Service und wenden neue Taktiken auf ihre Malware an, um die Kunden finanziell effektiv anzusprechen. Darüber hinaus verwenden sie verschiedene Arsenal-Techniken wie DGA-Nutzung, DLL-Hijacking, verschlüsselte Nutzdaten und andere Tricks, um Sicherheitstools zu umgehen.