Llegó a la Argentina el peor virus bancario de Brasil: a qué cuentas afecta y cómo la deja “en cero”

Según investigadores internacionales, se conocieron cuatros nuevas variantes de virus bancarios que serían provenientes de Brasil.  Los cibercriminales brasileños, considerados desde hace mucho tiempo como los más creativos generadores de malware, han comenzado a exportar sus programas maliciosos originales. Según los investigadores de Kaspersky, cuatro familias bancarias avanzadas (Guildma, Javali, Melcoz y Grandoreiro) han comenzado a dirigirse a usuarios en América del Norte, Europa y América Latina. En conjunto, estas cuatro familias son conocidas como Tetrade y representan las innovaciones más recientes en malware bancario, ya que han implementado una variedad de nuevas técnicas de evasión.

Durante mucho tiempo, los troyanos bancarios -el malware que roba credenciales para el pago electrónico y los sistemas bancarios en línea-  fueron usados de manera tal que los delincuentes puedan desviar fondos de las cuentas de las víctimas. Sin embargo, en el pasado, los criminales brasileños dirigían sus actividades principalmente a clientes de instituciones financieras locales. Eso cambió a principios de 2011, cuando algunos grupos comenzaron a experimentar con la exportación de troyanos básicos al extranjero, aunque con un éxito limitado. Ahora, en 2020, cuatro familias, conocidas como Tetrade, han implementado las innovaciones necesarias para ser distribuidas a todo el mundo, según explica Kaspersky.

¿Cómo funcionan los malware bancarios?

Una familia, Guildma, ha estado activa desde 2015 y se propaga principalmente a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones comerciales legítimas.

Guildma ha adquirido varias técnicas nuevas de evasión, por lo que es especialmente difícil de detectar. A partir de 2019, Guildma comenzó a ocultar la carga maliciosa dentro del sistema de la víctima utilizando un formato de archivo especial. Además, Guildma almacena su comunicación con el servidor de control en un formato cifrado en las páginas de Facebook y YouTube. Este es uno de los que está llegando a otros países de América latina.

Otro troyano bancario local, conocido como Javali (activo desde 2017), también se ha visto fuera de Brasil, dirigido a clientes bancarios en México. Al igual que Guildma, también se propaga a través de correos electrónicos de phishing y ha comenzado a usar YouTube para alojar sus comunicaciones C2.

La tercera familia, Melcoz, ha estado activa desde 2018, pero desde entonces se ha expandido al extranjero, en países como México y España. Por último, Grandoreiro comenzó a dirigirse a usuarios en América Latina antes de expandirse a países de Europa. De las cuatro familias, esta es la más extendida. Ha estado activo desde 2016 y sigue un modelo de negocio de malware como servicio, es decir, diferentes ciberdelincuentes pueden comprar el acceso a las herramientas necesarias para lanzar el ataque.

Esta familia se distribuye a través de sitios web infectados, así como a través de spearphishing. Al igual que Guildma y Javali, oculta sus comunicaciones C2 en sitios web legítimos de terceros.