Brazylijscy hakerzy podbijają Europę? Sektor bankowy „kopalnią złota”

Specjaliści Kaspersky Lab wykryli nową grupę trojanów opracowanych specjalnie na potrzeby prowadzenia kampanii wymierzonych w sektor finansowych. Została nazwana przez ekspertów „Tetrade” i jest wykorzystywana przez brazylijskie środowisko cyberprzestępcze. Celem hakerów stały się operacje o zasięgu globalnym – wynika z raportu opublikowanego na oficjalnym blogu Kaspersky.

Od kilku lat wskaźnik skuteczności operacji prowadzonych przez brazylijskich hakerów znacznie się poprawił. Wynika to z faktu polepszenia technik działania oraz udoskonalenia złośliwego oprogramowania, które staje się coraz bardziej złożone, a tym samym trudne do zidentyfikowania.

Specjaliści  Kaspersky przeanalizowali 4 rodziny trojanów bankowych: Guildma, Javali, Melcoz i Grandoreiro. Są one wykorzystywane w operacjach wymierzonych nie tylko w brazylijskie instytucje, ale również w podmioty z Ameryki Łacińskiej i Europy.

Guildma

„Szkodliwe oprogramowanie Guildma było aktywne od co najmniej 2015 roku, kiedy atakowało użytkowników bankowości wyłącznie w Brazylii” – czytamy w oficjalnym komunikacie Kaspersky. Jak dodają specjaliści firmy, od tego czasu było stale aktualizowane przez co stawało się coraz skuteczniejsze w kampaniach zagranicznych, w tym na obszarze Ameryki Łacińskiej.

Guildma jest zaawansowanym oprogramowaniem o bardzo złożonym procesie wykonywania. Głównym wektorem używanym przez grupę jest wysyłanie szkodliwych plików, dołączanych do e-maili. Większość wiadomości phishingowych podszywa się pod przedstawicieli biznesu, w tym na przykład firmy kurierskie.

Zainfekowanie urządzenia sprawia, że hakerzy zasadniczo mogą przeprowadzać dowolne transakcje przy użyciu komputera ofiary, omijając tym samym oprogramowania, które mają wykrywać podejrzane przelewy bankowe.

Jak wskazują specjaliści, narzędzie Guildma „może kraść dane od klientów banków mieszkających w Chile, Urugwaju, Peru, Ekwadorze, Kolumbii, Chinach, Europie i oczywiście w Brazylii”.

Javali

Złośliwe oprogramowanie o nazwie Javali jest skierowane głównie do krajów portugalskojęzycznych i hiszpańskojęzycznych. „Działa od listopada 2017 roku i koncentruje się głównie na klientach instytucji finansowych zlokalizowanych w Brazylii i Meksyku” – czytamy na stronie firmy.

Wirus jest rozpowszechniany za pomocą wiadomości phishingowych w formie załączniku lub linku do strony internetowej. PO kliknięciu na urządzenie pobierany jest zestaw plików, w tym szkodliwy ładunek, który jest zdolny do kradzieży informacji finansowych ofiary.

Melcoz

Melcoz to rodzina trojanów bankowych która jest wykorzystywana przez środowisko cyberprzestępcze w Brazylii. Jak wskazują specjaliści Kaspersky, od 2018 roku narzędzie to jest używane również podczas prowadzenia kampanii w Europie.  Próbki wirusa wykryto w krajach Ameryki Łacińskiej, a także Hiszpanii i Portugalii.

„Nowe operacje są profesjonalnie wykonywane i trwałe, tworząc różne wersje szkodliwego oprogramowania, ze znacznymi ulepszeniami infrastruktury, które umożliwiają współpracę grup cyberprzestępców w różnych krajach” – wynika z raportu.

Głównym celem hakerów posługujących się Melcoz są banki działające w skali międzynarodowej. W tym miejscu warto podkreślić, że cyberprzestepcy współpracują z lokalnymi programistami i operatorami, aby za ich pomocą „prać brudne pieniądze”.

Złośliwe oprogramowanie wykrada hasła z przeglądarek i pamięci urządzenia, zapewniając zdalny dostęp w celu przechwycenia bankowości internetowej. „Zawiera również moduł do kradzieży bitcoinów” – wskazują eksperci. Podobnie jak w poprzednich przypadkach trojan jest rozsyłany za pomocą wiadomości phishingowych.

Grandoreiro

Podobnie jak Melcoz i Javali, Grandoreiro z wielkim sukcesem zaczął rozszerzać swoje ataki w Ameryce Łacińskiej, a później w Europie. Jednym z zamiarów hakerów było próba uniknięcia wykrycia złośliwych operacji. „Spośród czterech opisanych przez nas rodzin trojanów, Grandoreiro jest najbardziej rozpowszechnioną wersją na świecie” – czytamy w raporcie Kaspersky.

Złośliwe oprogramowanie umożliwia cyberprzestępcom dokonywanie nielegalnych transakcji bankowych przy użyciu komputerów ofiar do ominięcia środków bezpieczeństwa stosowanych przez instytucje finansowe.

Wśród ofiar oprogramowania Grandoreiro znajdują się podmioty z Brazylii, Meksyku, Hiszpanii i Portugalii. „Jednak jest wysoce prawdopodobne, że inne kraje również zostały dotknięte złośliwą działalnością, ponieważ docelowe instytucje prowadzą także działalność w innych krajach” – podkreślają specjaliści.

Guildma, Javali, Melcoz i Grandoreiro to przykłady dopracowanych narzędzi hakerskich wykorzystywanych przez brazylijskich cyberprzestępców do prowadzenia złośliwych operacji nie tylko na obszarze kraju, ale również rozszerzając działania za granicą. Korzystają oni z powiązań między instytucjami finansowymi, które operują na wielu kontynentach, co z punktu widzenia hakerów jest bardzo atrakcyjnym zjawiskiem. Dlatego też ofiarami brazylijskich cyberprzestępców są między innymi europejskie banki.