El malware bancario Tetrade
España es el principal país europeo objetivo de la familia de malware bancario Tetrade.
El Ministerio del Interior español anunció la semana pasada la detención de 16 personas relacionadas con las familias de malware Grandoreiro y Melcoz (también conocido como Mekotio). Ambos son originarios de Brasil y forman parte de Tetrade, nombre que incluye a cuatro grandes familias de troyanos bancarios, creados, desarrollados y propagados por los piratas brasileños que operan en América Latina y Europa Occidental, con España como principal país europeo objetivo.
El gran trabajo realizado por la Guardia Civil de España consiguió llevar a cabo estas detenciones. Sin embargo, dado que ambas familias de malware tienen su origen en Brasil, los individuos detenidos en España probablemente sean sólo operadores. Es decir, es muy posible que los creadores de Grandoreiro y Melcoz sigan en Brasil, desde donde podrán desarrollar nuevas técnicas de malware y reclutar nuevos miembros en países de su interés.
Grandoreiro es una familia de troyanos bancarios que empezó a operar en Brasil y posteriormente en Europa Occidental. Kaspersky ha sido testigo de las campañas de Grandoreiro desde al menos 2016: los atacantes han ido mejorando regularmente sus técnicas, esforzándose por permanecer indetectables y activos durante más tiempo. Basándonos en análisis de las campañas realizados desde la compañía, podríamos afirmar que Grandoreiro opera como un proyecto de malware como servicio (MaaS). Desde enero de 2020, la telemetría de Kaspersky muestra que Grandoreiro ha atacado principalmente a Brasil, México, España, Portugal y Turquía.
En cuanto a Melcoz (también conocido como Mekotio), esta familia de troyanos bancarios desarrollada por el grupo Tetrade ha estado activa desde al menos 2018. Por lo general, el malware utiliza scripts AutoIt o VBS, añadidos en archivos MSI, que ejecutan DLL maliciosas mediante la técnica DLL-Hijack, con el objetivo de eludir las soluciones de seguridad. Este malware roba las contraseñas de los navegadores y de la memoria del dispositivo, proporcionando acceso remoto para capturar el acceso a la banca por Internet. También incluye un módulo de robo de carteras de Bitcoin.
La telemetría confirma que, desde enero de 2020, Melcoz ha atacado activamente a Brasil, Chile y España, entre otros países.
Las tecnologías de Kaspersky detectan ambas familias como Trojan-Banker.Win32.Grandoreiro y Trojan-Banker.Win32.Melcoz.
Para hacer frente a estas familias de malware, se recomienda a las instituciones financieras que permanezcan atentas y vigilen de cerca sus amenazas, que mejoren sus procesos de autenticación, y fortalezcan la tecnología antifraude y los datos de inteligencia sobre amenazas, para comprender y mitigar dichos riesgos.
Los usuarios de los servicios de Inteligencia de Amenazas Financieras de Kaspersky disponen de información detallada sobre Tetrade con las reglas y hashes completos de Yara de estas amenazas.
Hace ahora un año, Kaspersky ya comunicó que grupos de ciberdelincuentes brasileños estaban llevando a cabo las innovaciones necesarias para distribuir su malware por todo el mundo, algo que ha quedado de manifiesto a la vista de los nuevos datos aportados por la telemetría.
