Brasil es famoso por los numerosos troyanos bancarios desarrollados por los delincuentes locales. En el submundo delictivo de este país se encuentran algunos de los ciberpiratas más activos y creativos del mundo. Al igual que sus pares en China y en Rusia, sus ciberataques tienen un fuerte sabor local, y por mucho tiempo se limitaron a los clientes de bancos locales. Pero ahora sus ataques y operaciones se expanden agresivamente fuera de sus fronteras, atacando a bancos en otros países. Tetrade es nuestra descripción de cuatro grandes familias de troyanos bancarios, creados, desarrollados y propagados por los piratas brasileños, pero ahora a escala global.
Esta no es su primera vez, pues en 2011 hicieron un tímido intento, con troyanos muy básicos que tenían bajas posibilidades de éxito, pero ahora la situación es completamente distinta. Los troyanos bancarios brasileños han tenido una marcada evolución: adoptaron técnicas para evitar la detección, crearon programas maliciosos muy modulares y con alta ofuscación, con flujos de ejecución muy complejos y llenos de artimañas que dificultaban en extremo su análisis.
Al menos desde el año 2000 los bancos brasileños operan en un ciberambiente muy hostil, lleno de fraudes. A pesar de la temprana adopción de tecnologías para proteger a sus clientes, de la implementación de complementos, tokens, tokens virtuales, la autenticación de dos factores, tarjetas de crédito con CHIP y PIN y de otras formas de proteger a sus millones de clientes, los fraudes siguen campeándose mientras el país carece de una sólida legislación para castigar a los ciberpiratas.
Este artículo es un análisis profundo para comprender estas cuatro familias de troyanos bancarios: Guildma, Javali, Melcoz y Grandoreiro, y su expansión fuera del país, con los ataques lanzados contra usuarios en América Latina y Europa.
El programa malicioso Guildma ha estado activo al menos desde 2015, cuando atacó a usuarios de bancos exclusivamente en Brasil. A partir de entonces, se ha actualizado de manera constante con nuevos blancos, nuevas características y capacidad de hacer pasar desapercibida su campaña, y ahora dirige sus ataques hacia otros países en América Latina. El grupo detrás de este ataque ha demostrado poseer sólidos conocimientos del uso de herramientas legítimas para realizar un flujo complejo de ejecución, simulando ocultarse en el sistema y evitando que los sistemas de análisis automatizado detecten sus actividades.
Recientemente se ha detectado una nueva versión circulando en Internet que abusa de los Flujos de Datos Alternativos NTFS (ADS) para almacenar el contenido de las cargas útiles maliciosas descargadas durante la ejecución. Este programa malicioso es altamente modular, con un flujo de ejecución muy complejo. El principal vector que este grupo utiliza es el envío de archivos maliciosos en formato comprimido y adjuntos al mensaje de correo. El tipo de archivo varía de VBS a LNK; en la última campaña adjuntaron un archivo HTML que ejecuta un Javascript para descargar el archivo malicioso;
Este malware se basa en artimañas antidepuración, antivirtualización y antiemulación, además del vaciado de procesos, y las técnicas LOLBin (binarios proporcionados por el sistema operativo) y Flujos de Datos Alternativos NTFS para almacenar las cargas útiles descargadas, que provienen de servicios de hosting en la nube, como CloudFlare’s Workers, Amazon AWS y otros sitios web conocidos, como YouTube y Facebook, para almacenar información del c2.
