Na terça-feira, pesquisadores de segurança cibernética detalharam até quatro famílias diferentes de trojans bancários brasileiros que têm como alvo instituições financeiras no Brasil, América Latina e Europa.
Coletivamente chamadas de “Tetrade” pelos pesquisadores da Kaspersky, as famílias de malware, que incluem Guildma, Javali, Melcoz e Grandoreiro desenvolveram suas capacidades para funcionar como backdoor e adotaram uma variedade de técnicas de ofuscação para ocultar suas atividades maliciosas do software de segurança.
“Guildma, Javali, Melcoz e Grandoreiro são exemplos de mais um grupo e operação bancária brasileira que decidiu expandir seus ataques no exterior, visando bancos em outros países”, disse Kaspersky em uma análise.
“Eles se beneficiam do fato de muitos bancos que operam no Brasil também terem operações em outros lugares da América Latina e Europa, facilitando a extensão de seus ataques contra clientes dessas instituições financeiras”.
Um processo de implantação de malware em vários estágios
Guildma e Javali empregam um processo de implantação de malware em vários estágios, usando e-mails de phishing como um mecanismo para distribuir as cargas úteis iniciais.
A Kaspersky descobriu que o Guildma não apenas adicionou novos recursos e furtividade às suas campanhas desde a sua origem em 2015, mas também expandiu-se para novos alvos além do Brasil para atacar usuários bancários na América Latina.
Uma nova versão do malware, por exemplo, usa anexos de email compactados (por exemplo, .VBS, .LNK) como um vetor de ataque para camuflar as cargas maliciosas ou um arquivo HTML que executa um pedaço de código JavaScript para baixar o arquivo e buscar outros módulos usando uma ferramenta de linha de comando legítima como o BITSAdmin.
Além disso, ele tira proveito dos fluxos de dados alternativos do NTFS para ocultar a presença das cargas transferidas por download nos sistemas de destino e aproveita o sequestro de pedidos de pesquisa de DLL para iniciar os binários de malware, apenas prosseguindo se o ambiente estiver livre de depuração e ferramentas de virtualização.
“Para executar os módulos adicionais, o malware usa a técnica oca do processo para ocultar a carga maliciosa dentro de um processo na lista de permissões, como o svchost.exe”, disse Kaspersky. Esses módulos são baixados de um servidor controlado por invasor, cujas informações são armazenadas nas páginas do Facebook e do YouTube em um formato criptografado.
Uma vez instalada, a carga útil final monitora sites específicos do banco, que quando abertos, acionam uma cascata de operações que permitem que os cibercriminosos realizem qualquer transação financeira usando o computador da vítima.
O Javali (ativo desde novembro de 2017), da mesma forma, baixa cargas úteis enviadas por e-mail para buscar um malware de estágio final de um C2 remoto capaz de roubar informações financeiras e de login de usuários no Brasil e no México que estão visitando sites de criptomoeda (Bittrex) ou pagamento soluções (Mercado Pago).
Roubo de senhas e carteiras de Bitcoin
O Melcoz, uma variante do PC de acesso remoto RAT de código aberto, está vinculado a uma série de ataques no Chile e no México desde 2018, com o malware capaz de roubar senhas de navegadores e informações da área de transferência e carteiras de Bitcoin substituindo os detalhes originais da carteira com uma alternativa duvidosa de propriedade dos adversários.
Ele usa scripts VBS nos arquivos do pacote do instalador (.MSI) para baixar o malware no sistema e, posteriormente, abusa do interpretador AutoIt e do serviço NAT VMware para carregar a DLL mal-intencionada no sistema de destino.
“O malware permite ao invasor exibir uma janela de sobreposição na frente do navegador da vítima para manipular a sessão do usuário em segundo plano”, disseram os pesquisadores. “Dessa forma, a transação fraudulenta é realizada na máquina da vítima, dificultando a detecção de soluções antifraude no final do banco”.
Além disso, um agente de ameaças também pode solicitar informações específicas solicitadas durante uma transação bancária, como uma senha descartável, ignorando a autenticação de dois fatores.
Por fim, Grandoreiro é rastreado para uma campanha espalhada pelo Brasil, México, Portugal e Espanha desde 2016, permitindo que os atacantes realizem transações bancárias fraudulentas usando os computadores das vítimas para contornar as medidas de segurança usadas pelos bancos.
O malware em si é hospedado nas páginas do Google Sites e entregue por sites comprometidos e pelo Google Ads ou métodos de spear-phishing, além de usar o DGA (Domain Generation Algorithm) para ocultar o endereço C2 usado durante o ataque.
“Os criminosos brasileiros estão criando rapidamente um ecossistema de afiliados, recrutando criminosos cibernéticos para trabalhar em outros países, adotando o MaaS (malware como serviço) e adicionando rapidamente novas técnicas ao malware, como uma maneira de mantê-lo relevante e financeiramente atraente para eles e seus parceiros”, concluiu a Kaspersky.
“Como ameaça, essas famílias de cavalos de troia bancários tentam inovar usando DGA, cargas criptografadas, ocultação de processos, seqüestro de DLL, muitos LoLBins, infecções sem arquivo e outros truques como uma maneira de obstruir a análise e a detecção. Acreditamos que essas ameaças irão evoluir para atingir mais bancos em mais países “.
Este artigo é uma tradução de: https://thehackernews.com/2020/07/brazilian-banking-trojan.html