Brazylijscy cyberprzest?pcy, od dawna postrzegani jako jedni z najkreatywniejszych twórców szkodliwego oprogramowania, zacz?li eksportowa? swoje szkodliwe programy poza kraj. Wed?ug badaczy z firmy Kaspersky cztery rodziny zaawansowanych trojanów bankowych – Guildma, Javali, Melcoz oraz Grandoreiro – zacz??y atakowa? u?ytkowników z Ameryki Pó?nocnej, Europy oraz Ameryki ?aci?skiej. Okre?lane ??cznie jako Tetrade, reprezentuj? one najnowsze innowacje w zakresie szkodliwego oprogramowania bankowego, wykorzystuj?c szereg nowych technik zapobiegaj?cych wykryciu.
Brazylia od dawna stanowi wyl?garni? trojanów bankowych – szkodliwego oprogramowania, które kradnie dane uwierzytelniaj?ce do systemów e-p?atno?ci oraz bankowo?ci elektronicznej po to, by cyberprzest?pcy mogli wyczy?ci? konta ofiar ze zgromadzonych tam ?rodków. Wcze?niej brazylijscy przest?pcy brali na celownik g?ównie klientów lokalnych instytucji finansowych. Zmieni?o si? to na pocz?tku 2011 r., gdy kilka cybergangów zacz??o eksperymentowa? – jeszcze bez wi?kszych sukcesów – z rozprzestrzenianiem podstawowych trojanów za granic?. W 2020 r. cztery rodziny trojanów, okre?lane jako Tetrade, zosta?y wyposa?one w niezb?dne innowacje umo?liwiaj?ce dzia?anie i propagacj? tych szkodników na ca?ym ?wiecie.
Pierwsza z omawianych rodzin, Guildma, jest aktywna od 2015 r. Szkodniki te s? rozprzestrzeniane g?ównie za po?rednictwem wiadomo?ci phishingowych podszywaj?cych si? pod legaln? korespondencj? lub powiadomienia.
Szkodliwe programy z rodziny Guildma, od czasu, gdy wykryto je po raz pierwszy, zosta?y wyposa?one w kilka nowych technik ukrywania si?, przez co sta?y si? szczególnie trudne do wykrycia. Od 2019 roku zacz??y ukrywa? swoj? szkodliw? funkcj? w systemie ofiary przy u?yciu specjalnego formatu pliku. Ponadto przechowuj? swoj? komunikacj? z serwerem kontroli w zaszyfrowanym formacie na stronach Facebooka oraz YouTube’a. W rezultacie trudno jest wykry? taki ruch jako szkodliwy, a poniewa? ?adne oprogramowanie antywirusowe nie blokuje tych stron, serwer kontroli mo?e bez zak?óce? wykonywa? polecenia.
W 2015 roku szkodniki Guildma by?y aktywne wy??cznie w Brazylii. Obecnie s? wykrywane w Ameryce Po?udniowej, Stanach Zjednoczonych, Portugalii oraz Hiszpanii.
Inny lokalny trojan bankowy, Javali (aktywny od 2017 r.), równie? zosta? zidentyfikowany poza Brazyli? — atakuje klientów bankowo?ci w Meksyku. Podobnie jak Guildma, jest on rozprzestrzeniany za po?rednictwem wiadomo?ci phishingowych i zacz?? wykorzystywa? YouTube’a do komunikowania si? z cyberprzest?pcami.
Trzecia rodzina, Melcoz, jest aktywna od 2018 r. i rozprzestrzeni?a si? w takich krajach jak Meksyk czy Hiszpania.
Z kolei szkodniki Grandoreiro pocz?tkowo atakowa?y u?ytkowników w Ameryce ?aci?skiej, by nast?pnie rozprzestrzeni? si? w krajach europejskich. To najszerzej rozpowszechniona spo?ród wszystkich czterech rodzin. Jest aktywna od 2016 r., a stoj?ce za ni? osoby stosuj? model biznesowy „szkodliwe oprogramowanie jako us?uga” polegaj?cy na tym, ?e ró?ni cyberprzest?pcy mog? zakupi? dost?p do niezb?dnych narz?dzi w celu przeprowadzenia ataku.
Rodzina ta jest rozprzestrzeniana za po?rednictwem zainfekowanych stron, jak równie? spersonalizowanego phishingu. Podobnie jak w przypadku rodzin Guildma oraz Javali, komunikacja z cyberprzest?pcami jest ukrywana na legalnych stronach zewn?trznych.
Brazylijscy cyberprzest?pcy aktywnie rekrutuj? partnerów w innych krajach w celu skutecznego eksportowania swoich szkodników na ca?y ?wiat. Co wi?cej, nieustannie wprowadzaj? innowacje, stosuj?c nowe sztuczki i techniki w celu ukrycia swojej szkodliwej aktywno?ci oraz osi?gni?cia wi?kszych zysków ze swoich ataków. Spodziewamy si?, ?e opisane cztery rodziny zaczn? atakowa? wi?cej banków w kolejnych krajach – oraz ?e pojawi? si? nowe rodziny. Dlatego instytucje finansowe powinny monitorowa? tego rodzaju zagro?enia i zwi?kszy? swoje mo?liwo?ci ochrony przed oszustwami – powiedzia? Dmitrij Bestu?ew, g?ówny badacz ds. cyberzagro?e? na obszar Ameryki ?aci?skiej w firmie Kaspersky.
