Los investigadores de ciberseguridad detallaron el martes hasta cuatro familias diferentes de troyanos bancarios brasileños que se han dirigido a instituciones financieras en América del Sur y Europa.
Las familias de malware; Guildma, Javali, Melcoz y Grandoreiro, han desarrollado sus capacidades para funcionar como una puerta trasera y adoptar una variedad de técnicas de ofuscación para ocultar sus actividades maliciosas del software de seguridad.
Se benefician del hecho de que muchos bancos que operan en Brasil también tienen operaciones en otros lugares de América del Sur y Europa, lo que facilita extender sus ataques contra los clientes de estas instituciones financieras.
Tanto Guildma como Javali emplean un proceso de implementación de malware de múltiples etapas, utilizando correos electrónicos de phishing como mecanismo para distribuir las cargas útiles iniciales.
Kaspersky descubrió que Guildma no solo ha agregado nuevas características y sigilo a sus campañas desde su origen en 2015, sino que también se ha expandido a nuevos objetivos más allá de Brasil para atacar a los usuarios bancarios en América del Sur.
Una nueva versión del malware, utiliza archivos adjuntos de correo electrónico comprimidos (por ejemplo, .VBS, .LNK) como un vector de ataque para ocultar las cargas útiles maliciosas o un archivo HTML que ejecuta un fragmento de código JavaScript para descargar el archivo y buscar otro módulos que usan una herramienta legítima de línea de comandos como BITSAdmin. Además de todo eso, aprovecha los flujos de datos alternativos de NTFS para ocultar la presencia de las descargadas en los sistemas de destino y aprovecha el secuestro de órdenes de búsqueda de DLL para lanzar los binarios de malware, solo si el entorno está libre de depuración y virtualización.
Javali está activo desde noviembre de 2017 y, de manera similar, descarga cargas enviadas por correo electrónico para recuperar un malware de etapa final de un C2 remoto que es capaz de robar información financiera y de inicio de sesión de usuarios en Brasil y México que visitan sitios web de criptomonedas (Bittrex) o pago soluciones (Mercado Pago).
Melcoz, una variante de acceso remoto de código abierto, se ha vinculado a una serie de ataques en Chile y México desde 2018, y el malware tiene la capacidad de robar contraseñas desde el portapapeles, los navegadores y las billeteras de Bitcoin reemplazando la billetera original información con una alternativa dudosa.
Utiliza scripts de VBS en los archivos del paquete de instalación .MSI para descargar el malware en el sistema y, posteriormente, abusa del intérprete AutoIt y del servicio NAT de VMware para cargar la DLL maliciosa en el sistema de destino. Además, un actor de amenazas también puede solicitar información específica que se solicita durante una transacción bancaria, como una contraseña de un solo uso, evitando así la autenticación de dos factores.
Y, por último, Grandoreiro ha sido rastreado a una campaña extendida en Brasil, México, Portugal y España desde 2016, que permite a los atacantes realizar transacciones bancarias fraudulentas utilizando los ordenadores de las víctimas para eludir las medidas de seguridad utilizadas por los bancos.
El malware en sí está alojado en las páginas de Google Sites y se entrega a través de sitios web comprometidos y Google Ads o métodos de phishing, además de usar el Algoritmo de generación de dominio (DGA) para ocultar la dirección C2 utilizada durante el ataque.