Tetrade, el nuevo ‘malware’ bancario
● Los ciberdelincuentes brasileños han extendido ya sus creaciones más allá de su territorio, llegando a América Latina, EEUU y Europa, incluida España
Los ciberdelincuentes brasileños, considerados durante mucho tiempo como unos de los creadores de malware más creativos, han comenzado a extender sus programas maliciosos más allá de sus fronteras. Según investigadores de Kaspersky, cuatro familias avanzadas de malware bancario - Guildma, Javali, Melcoz y Grandoreiro - han empezado a dirigirse a usuarios de América del Norte, Europa y América Latina. Conocidas como Tetrade, representan la última innovación en materia de malware bancario, con variedad de nuevas técnicas de evasión desplegadas.
En el pasado, los ciberdelincuentes brasileños se dirigían principalmente a clientes de instituciones financieras locales. Sin embargo, a principios de 2011 esto empezó a cambiar y algunos grupos comenzaron a experimentar con la exportación de troyanos básicos a otros países, con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han puesto en práctica las innovaciones necesarias para ser distribuidas por todo el mundo.
Una de las familias, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de comunicaciones o notificaciones comerciales legítimas. Desde su descubrimiento inicial, Guildma ha ido incorporando nuevas técnicas de evasión, lo que lo hace particularmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga útil maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Como resultado, es difícil detectar como malicioso el tráfico de comunicación, y como ningún antivirus bloquea dichos sitios web, garantiza que el servidor de control pueda ejecutar comandos sin interrupciones. En 2015, Guildma actuaba exclusivamente en Brasil.
Ahora se ha extendido por España, Portugal, América del Sur y Estados Unidos. Otro troyano bancario local conocido como Javali (activo desde 2017), también ha sido visto fuera de Brasil, apuntando a clientes de entidades financieras en México. La tercera familia, Melcoz, ha estado activa desde 2018, y desde entonces se ha expandido en el extranjero, en países como España y México. Por último, Grandoreiro comenzó a dirigirse a usuarios de América Latina antes de expandirse a países de Europa.
Guildma, Javali, Melcoz y Grandoreiro son las cuatro nuevas familias de malware