Хакер #305. Многошаговые SQL-инъекции
По данным «Лаборатории Касперского», четыре семейства банковских троянов с бразильскими корнями — Guildma, Javali, Melcoz и Grandoreiro — теперь активно атакуют пользователей в Европе, Северной и Латинской Америке. Вместе эти вредоносы составляют группу Tetrade и используют множество новых методов обхода обнаружения и сбора данных.
Исследователи пишут, что Бразилия известна как крупный источник банковской малвари. Но если раньше бразильские злоумышленники охотились в основном за клиентами местных финансовых учреждений, и только несколько хак-групп экспериментировали с внедрением вредоносного ПО за границей, то в 2020 году вредоносы Tetrade получили необходимые инструменты для глобальной экспансии.
Так, троян Guildma, появившийся в Бразилии пять лет назад, стал активен в других странах Южной Америки, а также в США, Португалии и Испании. Банкер распространяется в основном через фишинговые письма, замаскированные под деловые сообщения или уведомления, и умеет скрывать вредоносный код в системе жертвы, используя специальное расширение.
Еще одна особенность Guildma заключается в том, что он получает конфигурационную информацию о текущих адресах командных серверов через страницы на Facebook и YouTube. Такой трафик трудно классифицировать как вредоносный, поскольку ни одну из этих соцсетей не блокируют защитные решения. При этом злоумышленники могут легко менять серверы управления, усложняя обнаружение.
Другой банковский троянец, Javali, действующий с 2017 года, атакует владельцев криптовалюты и клиентов банков в Мексике. По аналогии с Guildma малварь Javali распространяется через фишинговые письма и сейчас начинает использовать YouTube для получения информации о командных серверах.
Третий вредонос, Melcoz, активен с 2018 года, но уже начал атаковать пользователей не только в Мексике, но также в Испании и Чили. Помимо кражи финансовой информации, это семейство также предлагает другим злоумышленникам платный удаленный доступ к компьютерам пострадавших пользователей.
География Grandoreiro — самого популярного из всей четверки банкеров — сначала ограничивалась лишь Латинской Америкой, но теперь включает в себя и Европу. Как правило, Grandoreiro распространяется через скомпрометированные сайты и посредством целевого фишинга. При этом он работает по модели malware-as-a-service (вредоносное ПО как услуга). То есть разные злоумышленники могут приобрести доступ к необходимым инструментам Grandoreiro для запуска собственной атаки.
«Бразильские злоумышленники, как и те, кто стоит за этими четырьмя банковскими семействами, активно вербуют сторонников в других странах, чтобы увеличить экспорт своих вредоносных программ. Более того, они постоянно совершенствуются и изобретают новые методы организации атак, пытаясь сделать их ещё более прибыльными. Мы полагаем, что это вредоносное ПО начнет атаковать больше клиентов банков в других странах, не исключено, что появятся новые банковские зловреды. Вот почему так важно, чтобы финансовые учреждения отслеживали эти угрозы и предпринимали меры безопасности», — говорит Дмитрий Бестужев, руководитель латиноамериканского исследовательского центра GReAT в «Лаборатории Касперского».