Los troyanos brasileños Tetrade apuntan a instituciones financieras en el mundo

Recientemente, investigadores de ciberseguridad han detectado cuatro familias diferentes de troyanos bancarios brasileños, a saber, Guildma, Javali, Melcoz y Grandoreiro, que se dirigen a instituciones financieras de Brasil, América Latina y Europa. Kespersky dice que, como muchos bancos con sede en Brasil operan también en América Latina y en Europa, los delincuentes parecen convenientes para ampliar sus ataques a los clientes de estas instituciones financieras.

Estos virus evolucionan como backdoor como el malware Tetrade. Se adoptan varios métodos engañosos para evitar que sus comportamientos destructivos sean detectados por las herramientas de protección. Las cargas útiles para Guildma y Javaeli se distribuyen a través de correos electrónicos de phishing. El archivo adjunto de correo electrónico comprimido o el archivo HTML que ejecuta el código JavaScript inicia el proceso de inyección de carga útil a los objetivos. Además, la ubicación de la carga descargada está oculta por los flujos de datos alternativos de NTFS.

Los investigadores revelan que la tétrada descarga módulos adicionales desde un servidor operado por piratas informáticos en un formato encriptado y colocado en Facebook y Youtube. Para ejecutar estos módulos, utiliza un proceso engañoso para ocultar la carga dañina con algún proceso que está en la lista blanca, como suchost.exe. Después de la instalación, el malware vigila los sitios web específicos de los bancos: cuando los usuarios usan dichos sitios, lanza una cascada de operaciones que permiten a los delincuentes realizar transacciones fraudulentas a través de su dispositivo.

Malcoz, por otro lado, usa scripts VBS en los archivos del paquete de instalación para descargar la carga maliciosa en la computadora. Después de la instalación, abusa del intérprete Autolt y del servicio VMware Nat para cargar una DLL dañina. Roba contraseñas de los navegadores de portapapeles y también billeteras de bitcoin al reemplazar los detalles de la billetera original. Los investigadores explican esto cuando el malware muestra una ventana superpuesta en los navegadores para manipular la sesión que permite las transacciones fraudulentas.

Grandoreiro es el último malware detectado de Tetrade. Ayuda a los atacantes a realizar transferencias financieras ilegales al utilizar a las víctimas para dar algunos pasos de seguridad por parte de los bancos. Esta campaña de estafa ha estado activa desde 2016 en varias partes de Brasil, México, Portugal y España.

Kaspersky concluye que los delincuentes brasileños están construyendo rápidamente una red de afiliados: contratan delincuentes informáticos para operar en otros condados, adoptan el malware como servicio y aplican nuevas tácticas a su malware para hacer un atractivo financiero efectivo de los clientes. Además, emplean diversas técnicas de arsenal como el uso de DGA, el secuestro de DLL, las cargas cifradas y otros trucos para evitar las herramientas de seguridad.