{"id":15728,"date":"2020-07-14T19:48:20","date_gmt":"2020-07-14T22:48:20","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15728"},"modified":"2020-07-15T11:11:45","modified_gmt":"2020-07-15T14:11:45","slug":"trojan-banker-brasil-tetrade","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/trojan-banker-brasil-tetrade\/15728\/","title":{"rendered":"Hackers brasileiros agora miram bancos fora do pa\u00eds"},"content":{"rendered":"

Cibercriminosos brasileiros, considerados um dos mais criativos na cria\u00e7\u00e3o de malware, est\u00e3o realizando fraudes banc\u00e1rias fora do Pa\u00eds. De acordo com pesquisadores da Kaspersky<\/a>, quatro fam\u00edlias de trojans banc\u00e1rios \u2013 nomeados de Guildma, Javali, Melcoz e Grandoreiro \u2013 atuam na Europa e Am\u00e9rica Latina, mas tamb\u00e9m mostram interesse em fazer v\u00edtimas na Am\u00e9rica do Norte. Esta tend\u00eancia foi nomeada como Tetrade e o conjunto de trojans traz as \u00faltimas inova\u00e7\u00f5es em malware banc\u00e1rios em t\u00e9cnicas de evas\u00e3o e ocultamento.<\/p>\n

O Brasil \u00e9 um dos pa\u00edses mais ativos e criativos quando se trata de amea\u00e7as financeiras <\/a>, ou seja, malware que rouba credenciais de sistemas de pagamento online e Internet Banking. No entanto, estes criminosos apresentavam uma atua\u00e7\u00e3o local, focando seus golpes contra bancos nacionais. No in\u00edcio de 2011, <\/a>houve um in\u00edcio de internacionaliza\u00e7\u00e3o destes ataques, quando alguns grupos come\u00e7aram a fazer experi\u00eancias ao exportar trojans com c\u00f3digos simples e taxa de sucesso limitada. Por\u00e9m, o que vemos nessas quatro fam\u00edlias Tetrade s\u00e3o inova\u00e7\u00f5es que permitiram a expans\u00e3o mundo afora e consolidaram o Pa\u00eds como exportador de malware.<\/p>\n

Um deles, o Guildma, est\u00e1 ativo desde pelo menos 2015 e se espalha principalmente por e-mails de phishing<\/a> disfar\u00e7ados como notifica\u00e7\u00f5es ou comunicados leg\u00edtimos de empresas.<\/p>\n

Desde a sua descoberta, o Guildma incorporou v\u00e1rias t\u00e9cnicas de oculta\u00e7\u00e3o que o tornaram dif\u00edcil de detectar. A partir de 2019, ele come\u00e7ou a armazenar seus m\u00f3dulos no disco usando um formato de arquivo especial, dificultando a identifica\u00e7\u00e3o no computador da v\u00edtima. Al\u00e9m disso, ele salva a comunica\u00e7\u00e3o com o servidor de controle de forma criptografada em p\u00e1ginas do Facebook e do YouTube, tornando sua classifica\u00e7\u00e3o como malicioso mais complicada, por se tratar de sites muito populares. Isso permite que o servidor de controle possa ser utilizado pelo malware por muito mais tempo.<\/p>\n\n

J\u00e1 o trojan banc\u00e1rio \u201cJavali\u201d est\u00e1 ativo desde 2017 e foi identificado ataques contra clientes no M\u00e9xico. Da mesma forma que o Guildma, tamb\u00e9m se dissemina por e-mails de phishing e come\u00e7ou a usar o YouTube para hospedar sua comunica\u00e7\u00e3o C2. A terceira fam\u00edlia, Melcoz, est\u00e1 ativa desde pelo menos 2018 e se espalhou em pa\u00edses como M\u00e9xico, Espanha e Portugal.<\/p>\n

Finalmente, o Grandoreiro come\u00e7ou a mirar usu\u00e1rios na Am\u00e9rica Latina antes de se expandir para a Europa. Est\u00e1 ativo desde pelo menos 2016 e segue um modelo de neg\u00f3cios de malware como servi\u00e7o, em que cibercriminosos locais podem comprar o acesso \u00e0s ferramentas necess\u00e1rias para lan\u00e7ar um ataque. Essa fam\u00edlia \u00e9 distribu\u00edda por meio de sites comprometidos e por spearphishing<\/a>. Como o Guildma e o Javali, ela oculta a comunica\u00e7\u00e3o C2 em sites leg\u00edtimos de terceiros.<\/p>\n

Evolu\u00e7\u00e3o do cibercrime<\/h3>\n

De acordo com o analista-s\u00eanior de malware da Kaspersky, Fabio Assolini, as novas fam\u00edlias de Trojans bankers<\/em><\/a> mostram que o cibercrime brasileiro \u201cest\u00e1 eles t\u00e9cnicas bem modernas de infec\u00e7\u00e3o, tornando a an\u00e1lise bem mais complexa.\u201d<\/p>\n

Para ele, o foco em bancos no exterior mostra que essas institui\u00e7\u00f5es oferecem menos resist\u00eancia a golpes que as nacionais. \u201cOs bancos nacionais adotam mais medidas de seguran\u00e7a, como tokens. L\u00e1 fora, como o ambiente de fraude sempre foi menor, h\u00e1 menos camadas de prote\u00e7\u00e3o\u201d.<\/p>\n

Assolini diz que as campanhas est\u00e3o muito ativas. \u201cDetectamos mais de 200 URLs s\u00f3 do Guildma por dia\u201d, diz.<\/p>\n

\u201cOs criminosos brasileiros, como os que est\u00e3o por tr\u00e1s dessas quatro fam\u00edlias de malware banc\u00e1rio, est\u00e3o recrutando ativamente afiliados em outros pa\u00edses para exportar suas amea\u00e7as. Al\u00e9m disso, continuam inovando, adicionando novos artif\u00edcios e t\u00e9cnicas para ocultar suas atividades maliciosas e tornar seus ataques mais lucrativos\u201d, comenta Dmitry Bestuzhev, chefe da Equipe GReAT na Am\u00e9rica Latina. \u201cNossa previs\u00e3o \u00e9 de que essas quatro fam\u00edlias comecem a atacar outros bancos em outros pa\u00edses e que apare\u00e7am novas fam\u00edlias. Por isso, \u00e9 extremamente importante para as institui\u00e7\u00f5es financeiras monitorar essas amea\u00e7as de perto e tomar medidas para refor\u00e7ar seus recursos antifraude\u201d.<\/p>\n

Com informa\u00e7\u00f5es da Jeffrey Group<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

De acordo com pesquisadores da Kaspersky, quatro fam\u00edlias de trojans banc\u00e1rios atuam na Europa e Am\u00e9rica Latina, mas tamb\u00e9m mostram interesse em fazer v\u00edtimas na Am\u00e9rica do Norte e China.<\/p>\n","protected":false},"author":61,"featured_media":13894,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[1262,82,221,889,175],"class_list":{"0":"post-15728","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-banking-trojans","10":"tag-cibercrime","11":"tag-phishing","12":"tag-spear-phishing","13":"tag-trojans-bancarios"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trojan-banker-brasil-tetrade\/15728\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/trojans-bancarios\/","name":"Trojans banc\u00e1rios"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15728","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15728"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15728\/revisions"}],"predecessor-version":[{"id":15732,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15728\/revisions\/15732"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/13894"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15728"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15728"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15728"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}