Conteúdo patrocinado.
Na última terça-feira, dia 14 de julho, pesquisadores de segurança cibernética, que trabalham com a segurança de acesso de cassinos, bancos e outros sites que lidam com dinheiro real, detalharam até quatro famílias diferentes de trojans bancários brasileiros que têm como alvo instituições financeiras no Brasil, América Latina e Europa.
Coletivamente chamadas de “Tetrade” pelos pesquisadores da Kaspersky, as famílias de malware – que incluem Guildma, Javali, Melcoz e Grandoreiro – desenvolveram suas capacidades para funcionar como backdoor e adotaram uma variedade de técnicas de ofuscação para ocultar suas atividades maliciosas dos softwares de segurança.
Guildma, Javali, Melcoz e Grandoreiro são exemplos de mais um grupo/operação bancária brasileira que decidiu expandir seus ataques no exterior, visando bancos em outros países.
Eles se beneficiam com o fato de muitos bancos que operam no Brasil também terem operações em outros países da América Latina e Europa, facilitando a extensão de seus ataques contra clientes dessas instituições financeiras.
Um processo de implantação de malware em vários estágios
Guildma e Javali empregam um processo de implantação de malware em vários estágios, usando emails de phishing como um mecanismo para distribuir as cargas úteis iniciais.
Para quem não sabe, o phishing ocorre quando um site malicioso se faz passar por um legítimo, para induzi-lo a passar informações confidenciais como dados de contas, senhas e números de cartões de crédito.
A Kaspersky descobriu que o Guildma não apenas adicionou novos recursos e furtividade às suas campanhas desde a sua origem em 2015, como também se expandiu para novos alvos além do Brasil para atacar usuários bancários na América Latina.
Uma nova versão do malware, por exemplo, usa anexos de email compactados (por exemplo, .VBS, .LNK) como um vetor de ataque para camuflar as cargas maliciosas ou um arquivo HTML que executa um pedaço de código JavaScript para baixar o arquivo e buscar outros módulos usando uma ferramenta de linha de comando legítima como o BITSAdmin.
Trojans bancários brasileiros
Para executar os módulos adicionais, o malware usa a técnica oca do processo para ocultar a carga maliciosa dentro de um processo na lista de permissões, como o svchost.exe.
Esses módulos são baixados de um servidor controlado pelo invasor, cujas informações são armazenadas nas páginas do Facebook e do YouTube em um formato criptografado.
Uma vez instalada, a carga útil final monitora sites específicos do banco, que, quando abertos, acionam uma cascata de operações que permitem que os cibercriminosos realizem qualquer transação financeira usando o computador da vítima.
O Javali (ativo desde novembro de 2017), da mesma forma, baixa cargas úteis enviadas por email para buscar um malware de estágio final de um C2 remoto capaz de roubar informações financeiras e de login de usuários no Brasil e no México que estão visitando sites de criptomoeda (Bittrex) ou pagamento (Mercado Pago).
Roubando senhas e carteiras de Bitcoin
O Melcoz, uma variante do PC de acesso remoto RAT de código aberto, está vinculado a uma série de ataques no Chile e no México desde 2018, com o malware capaz de roubar senhas da área de transferência, navegadores e carteiras Bitcoin.
O malware permite ao invasor exibir uma janela de sobreposição na frente do navegador da vítima para manipular a sessão do usuário em segundo plano. Dessa forma, a transação fraudulenta é realizada na máquina da vítima, dificultando a detecção de soluções antifraude do banco.
Além disso, um agente de ameaças também pode solicitar informações específicas solicitadas durante uma transação bancária, como uma senha descartável, ignorando a autenticação de dois fatores.
Por fim, Grandoreiro é rastreado para uma campanha espalhada pelo Brasil, México, Portugal e Espanha desde 2016, permitindo que os atacantes realizem transações bancárias fraudulentas usando os computadores das vítimas para contornar as medidas de segurança usadas pelos bancos.
Como ameaça, essas famílias de cavalos de troia bancários tentam inovar usando DGA, cargas criptografadas, ocultação de processos, sequestro de DLL, muitos LoLBins, infecções sem arquivo e outros truques como uma maneira de obstruir a análise e a detecção.
Infelizmente, os pesquisadores que realizaram a descoberta acreditam que essas ameaças devem evoluir ainda mais a fim de atingir mais bancos em mais países. Portanto, é bom tomar cuidado ao entrar em sites de bancos na internet a partir de agora.