Cybersecurity researchers detailed on Tuesday up to four different families of Brazilian banking trojans that have targeted financial institutions in South America and Europe.
The malware families; Guildma, Javali, Melcoz and Grandoreiro, have developed their capabilities to function as a backdoor and adopt a variety of obfuscation techniques to hide their malicious activities from security software.
They take advantage of the fact that many banks operating in Brazil also have operations elsewhere in South America and Europe, making it easier to extend their attacks against the customers of these financial institutions.
Tanto Guildma como Javali emplean un proceso de implementación de malware de múltiples etapas, utilizando correos electrónicos de phishing como mecanismo para distribuir las cargas útiles iniciales.
Kaspersky descubrió que Guildma no solo ha agregado nuevas características y sigilo a sus campañas desde su origen en 2015, sino que también se ha expandido a nuevos objetivos más allá de Brasil para atacar a los usuarios bancarios en América del Sur.
Una nueva versión del malware, utiliza archivos adjuntos de correo electrónico comprimidos (For example, .VBS, .LNK) as an attack vector to hide malicious payloads or an HTML file that executes a JavaScript snippet to download the file and look for other modules that use a legitimate command-line tool like BITSAdmin. In addition to all that, it takes advantage of NTFS alternate data streams to hide the presence of the downloaded files on target systems and exploits DLL search order hijacking to launch malware binaries, only if the environment is free of debugging and virtualization.
Javali has been active since November 2017 and, similarly, descarga cargas enviadas por correo electrónico para recuperar un malware de etapa final de un C2 remoto que es capaz de robar información financiera y de inicio de sesión de usuarios en Brasil y México que visitan sitios web de criptomonedas (Bittrex) o pago soluciones (Mercado Pago).
Melcoz, una variante de acceso remoto de código abierto, se ha vinculado a una serie de ataques en Chile y México desde 2018, y el malware tiene la capacidad de robar contraseñas desde el portapapeles, los navegadores y las billeteras de Bitcoin reemplazando la billetera original información con una alternativa dudosa.
Utiliza scripts de VBS en los archivos del paquete de instalación .MSI para descargar el malware en el sistema y, posteriormente, abusa del intérprete AutoIt y del servicio NAT de VMware para cargar la DLL maliciosa en el sistema de destino. In addition, un actor de amenazas también puede solicitar información específica que se solicita durante una transacción bancaria, como una contraseña de un solo uso, evitando así la autenticación de dos factores.
Y, por último, Grandoreiro ha sido rastreado a una campaña extendida en Brasil, Mexico, Portugal y España desde 2016, que permite a los atacantes realizar transacciones bancarias fraudulentas utilizando los ordenadores de las víctimas para eludir las medidas de seguridad utilizadas por los bancos.
El malware en sí está alojado en las páginas de Google Sites y se entrega a través de sitios web comprometidos y Google Ads o métodos de phishing, además de usar el Algoritmo de generación de dominio (DGA) para ocultar la dirección C2 utilizada durante el ataque.