I criminali informatici brasiliani, a lungo considerati come alcuni dei più creativi creatori di malware, hanno iniziato a diffondere i loro originali programmi malevoli oltre i confini delloro Paese. Secondo i ricercatori di Kaspersky, quattro famiglie di malware bancari avanzati - Guildma, Javali, Melcoz e Grandoreiro - hanno iniziato a prendere di mira gli utenti in Nord America, Europa e America Latina. Conosciute collettivamente come Tetrade, rappresentano la più recente innovazione in terminidi malware bancari grazie all’implementazione di una varietà di nuove tecniche di evasione.
Il Brasile, patria di alcuni dei più attivi e creativi criminali informatici moderni è stato a lungo un hotspot per i Trojan bancari. Si trattadi malware che rubano le credenziali dei sistemi di pagamento elettronico e di online bankingcon l’obiettivo diappropriarsidei fondi presenti sui conti delle vittime. In passato, i criminali brasiliani prendevano di mira principalmente i clienti delle istituzioni finanziarie locali. Dall’inizio del 2011 però, la situazione è cambiata, infatti, alcuni gruppi hanno iniziato a sperimentare l'esportazione di trojan non avanzati all'estero, riscuotendo un successo limitato. Nel 2020, invece, quattro famigliedi malware, note come Tetrade, hanno implementato le innovazioni necessarie per essere diffusi con successo in tutto il mondo.
Guildma, una di queste famiglie di malwareè attiva dal 2015 e si diffonde principalmente attraverso e-mail di phishing che si fingono comunicazioni o notifiche aziendali legittime.
Sin dalla sua scoperta Guildma ha acquisito diverse nuove tecniche di evasione rendendoparticolarmente difficile il suo rilevamento. A partire dal 2019, Guildma ha iniziato a nascondere il payload dannoso all'interno del sistema della vittima utilizzando un formato speciale di file. Inoltre, Guildma archivia le comunicazioni con il server di controllo in un formato criptato sulle pagine di Facebook e YouTube. Questo rende il traffico di comunicazione difficile da identificare come dannoso e, poiché nessun antivirus blocca questi due siti web, il server di controllo esegue i comandi senza essere interrotto.Nel 2015, Guildma era attivo esclusivamente in Brasile. Oggi è diffuso in Sudamerica, Stati Uniti, Portogallo e Spagna.
Anche un altro Trojan bancario locale attivo dal 2017 e noto come Javali è stato individuatofuori dai confini brasiliani mentre prendeva di mira i clienti bancari in Messico. Come Guildma, si diffonde tramite e-mail di phishing e ha iniziato a utilizzare YouTube per ospitare le comunicazioni C2. Melcoz, la terza famiglia di malware è attiva dal 2018 e si è diffusa in Paesi come Messico e Spagna.
Grandoreiro, invece, ha iniziato a rivolgersi a utenti con sede in America Latina prima di espandersi nei Paesi europei. Tra le quattro famiglie di malware è la più diffusa. È attivo dal 2016 e segue un modello di business malware-as-a-service. Questo modello di business prevede che diversi cybercriminali possano acquistare l'accesso agli strumenti necessari per lanciare l'attacco.Grandoreiroviene distribuito attraverso siti web compromessi, così come attraverso lo spearphishing. Come Guildma e Javali, nasconde le sue comunicazioni C2 su siti web di terzi legittimi.
"I criminali brasiliani, compresi quelli che si nascondono dietro a queste quattro famiglie di trojan bancari, per poter esportare con successo il proprio malware in tutto il mondostanno reclutando affiliati in altri Paesi. Inoltre, continuano ad innovarsi e ad aggiungerenuove strategie e tecniche per nascondere la loro attività dannosa e rendere i loro attacchi più redditizi. Ci aspettiamo che queste famiglie di malware comincino ad attaccare un numero sempre maggiore di banche in altri Paesi e che ne sorgano di nuove. Ecco perché è così importante per le istituzioni finanziarie monitorare attentamente questo tipo di minacce e prendere provvedimenti per potenziare la propria capacità antifrode", ha commentato Dmitry Bestuzhev, head of GReAT, America Latina.
È possibile trovare maggiori informazioni su queste sofisticate famiglie di malware bancari su Securelist.
Per proteggersi dai trojan bancari gli esperti di Kaspersky raccomandano agli istituti finanziari di:
• Fornire al team SOC l'accesso alla Threat Intelligence più recente in modo che siano sempre aggiornati su strumenti, tecniche e tattiche nuove ed emergenti utilizzate dagli attori delle minacce e dai criminali informatici. Ad esempio, Kaspersky Financial Threat Intelligence Reporting contiene IoC (Indicatore di Compromissione), regole Yara e hash per questo tipo di minacce.
• Informare i clienti sui possibili trucchi utilizzati dai criminali informatici e su come identificare le frodi e comportarsi in situazioni simili.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 250.000 clienti aziendalia proteggere ciò che è per loro più importante. Per ulteriori informazioni:www.kaspersky.com/it
Contatto di redazione:
Noesis
