Zabudnuté heslo?
Prihlásenie

Nová generácia bankového malvéru preniká za hranice Brazílie

Nová generácia bankového malvéru preniká za hranice Brazílie
Autor:
Roman Mališka
Zverejnené:
15. 7. 2020
Hodnotenie:
Už ste hlasovali.

Brazílski kyberzločinci posúvajú svoju pôsobnosť aj za hranice Brazílie. Podľa analytikov spoločnosti Kaspersky sa štyri pokročilé bankové rodiny malvéru zamerali na používateľov z Európy, Severnej Ameriky a Latinskej Ameriky. Kolektívne známe ako Tetrade predstavujú inováciu v oblasti bankového malvéru, pričom využívajú nové techniky ako sa vyhnúť detekcii.

Brazília je domovom niektorých najaktívnejších a najkreatívnejších kyberzločincov. Takisto je horúcou pôdou pre trójske kone zamerané na mobilné bankovníctvo – čiže malvér, ktorý kradne prístupové údaje pre elektronické platby ako aj systémy online bankovníctva, aby sa mohli kyberzločinci dostať k finančným prostriedkom uloženým na účtoch obetí.

V minulosti sa však zvykli brazílski kriminálnici zameriavať najmä na zákazníkov lokálnych finančných inštitúcií. To sa zmenilo začiatkom roka 2011, kedy začalo niekoľko skupín experimentovať s rozšírením základných trojanov aj do zahraničia, no v tej dobe dosahovali len limitovaný úspech. Teraz, v roku 2020, štyri rodiny známe ako Tetrade implementovali potrebné inovácie, aby mohli svoju pôsobnosť rozšíriť do celého sveta.

Guildma je jednou z malvérových rodín, ktorá je aktívna od roku 2015. Šíri sa najmä prostredníctvom phishingových emailov, ktoré sú maskované ako legitímna firemná komunikácia či notifikácie. Od svojho odhalenia sa malvéru Guildma podarilo osvojiť si niekoľko nových únikových techník, takže je náročné ho odhaliť. Začiatkom roka 2019 sa tomuto malvéru podarilo skryť svoj škodlivý program do systému obete s využitím špeciálneho formátu súboru.

Navyše, tento malvér ukladá svoju komunikáciu s kontrolným serverom v zašifrovanej podobe na stránkach Facebooku a YouTubu. Čo vedie k tomu, že odhalenie tohto škodlivého komunikačného toku je veľmi náročné. A keďže žiaden antivírusový program tieto stránky neblokuje, tak sa mu darí nerušene realizovať príkazy z kontrolného servera. V roku 2015 bol malvér Guildma aktívny exkluzívne len v Brazílii. Teraz svoju pôsobnosť rozšíril aj na Južnú Ameriku, Spojené štáty americké, Portugalsko a Španielsko.

Aktivity ďalšieho lokálneho bankového trojana známeho pod názvom Javali (aktívny je od roku 2017) boli zachytené aj mimo Brazílie. Zameral sa najmä na klientov bánk v Mexiku. Podobne ako Guildma sa aj tento malvér šíri cez phishingové emaily a využíva YouTube pre svoju komunikáciu s riadiacim a kontrolným serverom.

Melcoz je treťou rodinou aktívnou od roku 2018. Tá medzičasom rozšírila svoje aktivity aj do zámoria, najmä do Mexika a Španielska.

Štvrtou v poradí je malvérová rodina Grandoreiro, ktorá začala sústrediť svoje aktivity na používateľov v Latinskej Amerike pred svojou expanziou do Európy. Zo spomínaných rodín je najrozšírenejšou. Je aktívna od roku 2016 a podniká na základe modelu „malvér ako služba“, čiže rôzni kyberzločinci si môžu zakúpiť prístup k potrebným nástrojom na spustenie útoku. Táto rodina využíva na distribúciu kompromitované webstránky, ale aj tzv. spear phishing (typ phishingu zameraný na úzku skupinu potenciálnych obetí). Tak ako v prípade malvérov Guildma a Javali, aj Grandoreiro skrýva svoju komunikáciu s riadiacim a kontrolným serverom na legitímnych weboch tretích strán.

„Brazílski kyberzločinci, vrátane tých čo stoja za týmito štyrmi bankovými rodinami malvérov, aktívne hľadajú partnerov v iných krajinách, aby mohli úspešne rozšíriť malvér do celého sveta. Okrem toho neustále inovujú a implementujú nové triky a techniky, aby maskovali svoje škodlivé aktivity a tým boli ich útoky lukratívnejšie. Očakávame, že tieto štyri rodiny začnú útočiť na ďalšie bankové inštitúcie v ďalších krajinách. A takisto je pravdepodobné, že narazíme aj na nové malvérové rodiny. Pre finančné inštitúcie je preto nesmierne dôležité sledovať vývoj týchto hrozieb a podniknúť kroky na zvýšenie svojich schopností odhaľovať takéto podvody,“ komentuje vývoj v oblasti bankového malvéru Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.

Viac informácií o týchto sofistikovaných bankových rodinách malvéru nájdete na stránke Securelist.com.

Experti Kaspersky finančným inštitúciám odporúčajú:

• Poskytnúť svojim SOC tímom (Security Operations Centre – centrum, ktoré zabezpečuje monitorovanie a identifikáciu hrozieb) prístup k najnovším poznatkom v oblasti hrozieb, ako napríklad Financial Threat Intelligence Reporting, aby mali k dispozícii aktuálne informácie o nových ako aj vznikajúcich nástrojoch, technikách a taktikách, ktoré útočníci a kyberzločinci najnovšie využívajú.

• Vzdelávať svojich klientov v tom, aké triky využívajú kyberkriminálnici na oklamanie svojej obete. Pravidelne ich informovať o tom, ako sami dokážu identifikovať podvod a ako sa v takej situácii zachovať.

• Implementovať riešenie, ktoré je schopné takéto sofistikované podvody odhaliť. Napríklad riešenie Kaspersky Fraud Prevention dokáže odhaľovať nielen škodlivé pokusy (ako vloženie škodlivého kódu do JavaScriptu, skryté spojenie s nástrojmi pre vzdialenú správu a využívanie webových stránok) v inkubačnej fáze krádeže peňazí, ale následne dokáže identifikovať aj divné správanie na účtoch.

Ilustračný obrázok (Zdroj: Kaspersky).

(Zdroj: Tlačová správa Kaspersky)