{"id":7625,"date":"2020-07-15T14:38:05","date_gmt":"2020-07-15T19:38:05","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=7625"},"modified":"2020-07-15T14:38:20","modified_gmt":"2020-07-15T19:38:20","slug":"tetrade-cibercriminales-brasilenos-lanzan-al-mundo-la-proxima-generacion-de-malware-bancario","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/tetrade-cibercriminales-brasilenos-lanzan-al-mundo-la-proxima-generacion-de-malware-bancario\/","title":{"rendered":"Tetrade: cibercriminales brasile\u00f1os lanzan al mundo la pr\u00f3xima generaci\u00f3n de malware bancario"},"content":{"rendered":"\n

Los cibercriminales brasile\u00f1os, considerados desde hace mucho tiempo como los m\u00e1s creativos generadores de malware, han comenzado a exportar sus programas maliciosos originales. Seg\u00fan los investigadores de Kaspersky, cuatro familias bancarias avanzadas (Guildma, Javali, Melcoz y Grandoreiro) han comenzado a dirigirse a usuarios en Am\u00e9rica del Norte, Europa y Am\u00e9rica Latina. En conjunto, estas cuatro familias son conocidas como Tetrade y representan las innovaciones m\u00e1s recientes en malware bancario, ya que han implementado una variedad de nuevas t\u00e9cnicas de evasi\u00f3n.<\/strong><\/p>\n\n\n\n

Brasil, hogar de algunos de los ciberdelincuentes m\u00e1s activos y creativos de la actualidad, ha sido durante mucho tiempo un foco de troyanos bancarios -el malware que roba credenciales para el pago electr\u00f3nico y los sistemas bancarios en l\u00ednea- de manera que los delincuentes puedan desviar fondos de las cuentas de las v\u00edctimas. Sin embargo, en el pasado, los criminales brasile\u00f1os dirig\u00edan sus actividades principalmente a clientes de instituciones financieras locales. Eso cambi\u00f3 a principios de 2011<\/a>, cuando algunos grupos comenzaron a experimentar con la exportaci\u00f3n de troyanos b\u00e1sicos al extranjero, aunque con un \u00e9xito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para ser distribuidas a todo el mundo.<\/p>\n\n\n\n

Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a trav\u00e9s de correos electr\u00f3nicos de phishing<\/em> disfrazados de notificaciones o comunicaciones comerciales leg\u00edtimas.<\/p>\n\n\n\n

Desde su descubrimiento inicial, Guildma ha adquirido varias t\u00e9cnicas nuevas de evasi\u00f3n, por lo que es especialmente dif\u00edcil de detectar. A partir de 2019, Guildma comenz\u00f3 a ocultar la carga maliciosa dentro del sistema de la v\u00edctima utilizando un formato de archivo especial. Adem\u00e1s, Guildma almacena su comunicaci\u00f3n con el servidor de control en un formato cifrado en las p\u00e1ginas de Facebook y YouTube. Como resultado, el tr\u00e1fico de la comunicaci\u00f3n es dif\u00edcil de detectar como malicioso y, dado que ning\u00fan antivirus bloquea ninguno de esos sitios web, garantiza que el servidor de control pueda ejecutar \u00f3rdenes sin interrupciones. <\/p>\n\n\n\n

En 2015, Guildma estuvo activo exclusivamente en Brasil. Ahora est\u00e1 muy extendido en Sudam\u00e9rica, Estados Unidos, Portugal y Espa\u00f1a.<\/p>\n\n\n\n

Otro troyano bancario local, conocido como Javali (activo desde 2017), tambi\u00e9n se ha visto fuera de Brasil, dirigido a clientes bancarios en M\u00e9xico. Al igual que Guildma, tambi\u00e9n se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing<\/em> y ha comenzado a usar YouTube para alojar sus comunicaciones C2.<\/p>\n\n\n\n

La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, en pa\u00edses como M\u00e9xico y Espa\u00f1a<\/p>\n\n\n\n

Por \u00faltimo, pero no menos importante, Grandoreiro comenz\u00f3 a dirigirse a usuarios en Am\u00e9rica Latina antes de expandirse a pa\u00edses de Europa. De las cuatro familias, esta es la m\u00e1s extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.<\/p>\n\n\n\n

Esta familia se distribuye a trav\u00e9s de sitios web infectados, as\u00ed como a trav\u00e9s de spearphishing<\/em>. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web leg\u00edtimos de terceros.<\/p>\n\n\n\n

\u201cLos delincuentes brasile\u00f1os, quienes est\u00e1n detr\u00e1s de estas cuatro familias bancarias, reclutan activamente afiliados en otros pa\u00edses para exportar con \u00e9xito su malware a todo el mundo. Adem\u00e1s, continuamente est\u00e1n innovando, agregando nuevos trucos y t\u00e9cnicas para ocultar su actividad maliciosa y hacer que sus ataques sean m\u00e1s lucrativos. Anticipamos que estas cuatro familias comiencen a atacar a m\u00e1s bancos en pa\u00edses adicionales y que surjan nuevas familias. Por eso es esencial que las instituciones financieras vigilen de cerca estas amenazas y tomen medidas para aumentar sus capacidades contra el fraude”,<\/em> comenta Dmitry Bestuzhev, director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Kaspersky Am\u00e9rica Latina.<\/strong><\/p>\n\n\n\n

Obtenga m\u00e1s informaci\u00f3n sobre estas complejas familias bancarias en Securelist.<\/a><\/p>\n\n\n\n

Para proteger a su instituci\u00f3n financiera contra estos cuatro troyanos bancarios y otros, los expertos de Kaspersky recomiendan:<\/strong><\/p>\n\n\n\n