...

«Лаборатория Касперского»: бразильские банковские зловреды атакуют пользователей по всему миру

Экономика Материалы 16 июля 2020 15:45 (UTC +04:00)

Бразильские киберзлоумышленники выводят локальные зловреды за пределы страны. По данным «Лаборатории Касперского», четыре сложных семейства банковских троянцев с бразильскими корнями — Guildma, Javali, Melcoz и Grandoreiro — сегодня активно атакуют пользователей в Европе, Северной и Латинской Америке. Вместе эти зловреды составляют группу Tetrade, они используют множество новых методов обхода защитных программ и сбора данных.

Бразилия известна как крупный источник банковских троянцев — вредоносных программ, направленных на кражу денег через онлайн-доступ к банковским счетам. Если раньше бразильские злоумышленники охотились в основном за клиентами местных финансовых учреждений и только несколько групп злоумышленников экспериментировали с внедрением вредоносного ПО за границей, то в 2020 году зловреды Tetrade получили необходимые инструменты для глобальной экспансии.

Так, троянец Guildma, появившийся в Бразилии пять лет назад, стал активен в других странах Южной Америки, а также в США, Португалии и Испании. Он распространяется в основном через фишинговые письма, замаскированные под деловые сообщения или уведомления, и умеет скрывать вредоносный код в системе жертвы, используя специальное расширение. Ещё одна особенность Guildma заключается в том, что он получает конфигурационную информацию о текущих адресах командных серверов через страницы на Facebook и YouTube. Такой трафик трудно классифицировать как вредоносный, поскольку ни одну из этих соцсетей не блокируют защитные решения. При этом злоумышленники могут легко менять серверы управления, усложняя обнаружение на сетевом уровне.

Другой банковский троянец Javali, действующий с 2017 года, атакует владельцев криптовалюты и клиентов банков в Мексике. По аналогии с Guildma зловред Javali распространяется через фишинговые письма и сейчас начинает использовать YouTube для получения информации о командных серверах. Третий вид, Melcoz, активен с 2018 года, но уже начал атаковать пользователей не только в Мексике, но также в Испании и Чили. Помимо кражи финансовой информации, это семейство также предлагает другим злоумышленникам платный удалённый доступ на компьютеры пользователей.

География Grandoreiro — самого популярного из всей четвёрки — сначала ограничивалась только Латинской Америкой, но теперь включает и Европу. Как правило, Grandoreiro распространяется через скомпрометированные веб-сайты и посредством целевого фишинга. При этом он работает по модели malware-as-a-service (вредоносное ПО как услуга). То есть разные злоумышленники могут приобрести доступ к необходимым инструментам Grandoreiro для запуска собственной атаки.

«Кибератаки на банки – тема, актуальная для всего мира, поэтому неудивительно, что бразильские вирусописатели выводят локальные банковские троянцы за пределы страны. Более того, киберзлоумышленники постоянно совершенствуют свой инструментарий и изобретают новые методы организации атак, пытаясь сделать их ещё более прибыльными. Наши латиноамериканские эксперты полагают, что всё больше жертв этого вредоносного ПО будет появляться среди клиентов банков в других странах. Поэтому важно, чтобы финансовые учреждения принимали необходимые меры для обеспечения кибербезопасности», — отметил Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.

Чтобы защитить финансовое учреждение от вредоносного банковского ПО, эксперты «Лаборатории Касперского» рекомендуют:

  • предоставлять вашей команде SOC доступ к самым актуальным сведениям об угрозах, чтобы сотрудники были в курсе новых инструментов, методов и тактик злоумышленников. Например, решение Kaspersky Financial Threat Intelligence Reporting обладает индикатором компрометации (IoC), содержит правила Yara и хэши различных угроз;
  • рассказывать клиентам о возможных приёмах, которые могут использовать злоумышленники и регулярно информировать их о том, как распознать мошенничество;
  • использовать надёжное решение для борьбы с мошенничеством, такое как Kaspersky Fraud Prevention. Оно позволяет защищать трансакции на самых разных уровнях, а также выявлять подозрительную активность на её ранних стадиях.

Более подробная информация о группе Tetrade доступна по ссылке https://securelist.com/the-tetrade-brazilian-banking-malware/97779/.

Тэги:
Лента

Лента новостей