Brazylijscy cyberprzestępcy, od dawna postrzegani jako jedni z najkreatywniejszych twórców szkodliwego oprogramowania, zaczęli eksportować swoje szkodliwe programy poza kraj. Według badaczy z firmy Kaspersky cztery rodziny zaawansowanych trojanów bankowych – Guildma, Javali, Melcoz oraz Grandoreiro – zaczęły atakować użytkowników z Ameryki Północnej, Europy oraz Ameryki Łacińskiej. Określane łącznie jako Tetrade, reprezentują one najnowsze innowacje w zakresie szkodliwego oprogramowania bankowego, wykorzystując szereg nowych technik zapobiegających wykryciu.
Brazylia od dawna stanowi wylęgarnię trojanów bankowych – szkodliwego oprogramowania, które kradnie dane uwierzytelniające do systemów e-płatności oraz bankowości elektronicznej po to, by cyberprzestępcy mogli wyczyścić konta ofiar ze zgromadzonych tam środków. Wcześniej brazylijscy przestępcy brali na celownik głównie klientów lokalnych instytucji finansowych. Zmieniło się to na początku 2011 r., gdy kilka cybergangów zaczęło eksperymentować – jeszcze bez większych sukcesów – z rozprzestrzenianiem podstawowych trojanów za granicę. W 2020 r. cztery rodziny trojanów, określane jako Tetrade, zostały wyposażone w niezbędne innowacje umożliwiające działanie i propagację tych szkodników na całym świecie.
Pierwsza z omawianych rodzin, Guildma, jest aktywna od 2015 r. Szkodniki te są rozprzestrzeniane głównie za pośrednictwem wiadomości phishingowych podszywających się pod legalną korespondencję lub powiadomienia.
Szkodliwe programy z rodziny Guildma, od czasu, gdy wykryto je po raz pierwszy, zostały wyposażone w kilka nowych technik ukrywania się, przez co stały się szczególnie trudne do wykrycia. Od 2019 roku zaczęły ukrywać swoją szkodliwą funkcję w systemie ofiary przy użyciu specjalnego formatu pliku. Ponadto przechowują swoją komunikację z serwerem kontroli w zaszyfrowanym formacie na stronach Facebooka oraz YouTube’a. W rezultacie trudno jest wykryć taki ruch jako szkodliwy, a ponieważ żadne oprogramowanie antywirusowe nie blokuje tych stron, serwer kontroli może bez zakłóceń wykonywać polecenia.
W 2015 roku szkodniki Guildma były aktywne wyłącznie w Brazylii. Obecnie są wykrywane w Ameryce Południowej, Stanach Zjednoczonych, Portugalii oraz Hiszpanii.
Inny lokalny trojan bankowy, Javali (aktywny od 2017 r.), również został zidentyfikowany poza Brazylią — atakuje klientów bankowości w Meksyku. Podobnie jak Guildma, jest on rozprzestrzeniany za pośrednictwem wiadomości phishingowych i zaczął wykorzystywać YouTube’a do komunikowania się z cyberprzestępcami.
Trzecia rodzina, Melcoz, jest aktywna od 2018 r. i rozprzestrzeniła się w takich krajach jak Meksyk czy Hiszpania.
Z kolei szkodniki Grandoreiro początkowo atakowały użytkowników w Ameryce Łacińskiej, by następnie rozprzestrzenić się w krajach europejskich. To najszerzej rozpowszechniona spośród wszystkich czterech rodzin. Jest aktywna od 2016 r., a stojące za nią osoby stosują model biznesowy „szkodliwe oprogramowanie jako usługa” polegający na tym, że różni cyberprzestępcy mogą zakupić dostęp do niezbędnych narzędzi w celu przeprowadzenia ataku.
Rodzina ta jest rozprzestrzeniana za pośrednictwem zainfekowanych stron, jak również spersonalizowanego phishingu. Podobnie jak w przypadku rodzin Guildma oraz Javali, komunikacja z cyberprzestępcami jest ukrywana na legalnych stronach zewnętrznych.
Brazylijscy cyberprzestępcy aktywnie rekrutują partnerów w innych krajach w celu skutecznego eksportowania swoich szkodników na cały świat. Co więcej, nieustannie wprowadzają innowacje, stosując nowe sztuczki i techniki w celu ukrycia swojej szkodliwej aktywności oraz osiągnięcia większych zysków ze swoich ataków. Spodziewamy się, że opisane cztery rodziny zaczną atakować więcej banków w kolejnych krajach – oraz że pojawią się nowe rodziny. Dlatego instytucje finansowe powinny monitorować tego rodzaju zagrożenia i zwiększyć swoje możliwości ochrony przed oszustwami – powiedział Dmitrij Bestużew, główny badacz ds. cyberzagrożeń na obszar Ameryki Łacińskiej w firmie Kaspersky.
Szczegóły dotyczące omawianych rodzin wyrafinowanych trojanów bankowych znajdują się na stronie https://r.kaspersky.pl/Um2LD.