‚Tetrade‘: Brasilianische Banking-Malware-Familien verbreiten sich weltweit

Brasilianergelten nicht nur im Fußball, sondern auch in der Cybercrime-Szene als kreativ. Kaspersky warnt nun anlässlich einer aktuellen Analyse [1] davor, dass brasilianische Cyberkriminelle derzeit ihre Schadprogramme außerhalb des eigenen Landes verbreiten. Denn die vier komplexen Banking-Malware-Familien ‚Guildma‘, ‚Javali‘, ‚Melcoz‘ und ‚Grandoreiro‘ – auch bekannt als Tetrade – haben nun auch Nutzer in Nordamerika, Lateinamerika und Europa im Visier. Sie setzen eine Vielzahl neuer Techniken ein, um einer Entdeckung durch Virenprogramme zu entgehen. Unter anderem lassen sie die Kommunikation mit dem Kontrollserver über ein verschlüsseltes Format auf legitimen Webseiten von Drittanbietern wie Facebook- und YouTube-Seiten laufen.

Brasilien ist seit langem ein Hotspot für Banking-Trojaner; eine Malware-Art, die Anmeldeinformationen für E-Payment- und Online-Banking-Systeme stiehlt. In der Vergangenheit richteten sich brasilianische Cyberkriminelle insbesondere gegen Kunden lokaler Finanzinstitute. Dies änderte sich Anfang des Jahres 2011, als einige Gruppen damit anfingen, ihre Trojaner auch im Ausland zu verbreiten – jedoch noch mit begrenztem Erfolg. Vier Familien, bekannt als Tetrade, haben es nun im Jahr 2020 geschafft, Opfer weltweit ins Visier zu nehmen.

Die vier Malware-Familien von Tetrade

Die Malware-Familie Guildma ist seit dem Jahr 2015 aktiv und wird überwiegend über Phishing-Mails verbreitet, die als Geschäftskommunikation oder Benachrichtigungen getarnt sind. Seit der Entdeckung hat Guildma mehrere neue Ausweichtechniken erworben, um einer Entdeckung zu entgehen. Seit dem Jahr 2019 verbirgt Guildma zudem die eigene böswillige Nutzlast im System des Opfers mithilfe eines speziellen Dateiformats. Darüber hinaus speichert Guildma die Kommunikation mit dem Kontrollserver in einem verschlüsselten Format auf Facebook- und YouTube-Seiten. Infolgedessen ist der Kommunikationsverkehr nur schwer als schädlich zu erkennen, da Virenschutzprogramme diese Webseiten nicht blockieren und Steuerungsserver Befehle ohne Unterbrechung ausführen kann. War Jahr 2015 Guildma ausschließlich in Brasilien aktiv, hat er sich mittlerweile in Südamerika, den USA, Deutschland sowie in Portugal und Spanien ausgebreitet.

Ein weiterer lokaler Banking-Trojaner namens Javali ist seit dem Jahr 2017 aktiv und richtet sich gegen Bankkunden in Mexiko (Kaspersky hat ein paar wenige Opfer auch in Deutschland ausgemacht). Wie Guildma wird er über Phishing- Mails verbreitet und nutzt YouTube, um seine C2-Kommunikation zu hosten.

Die dritte Familie, Melcoz, ist seit dem Jahr 2018 aktiv und hat sich seitdem in Ländern wie Mexiko und Spanien ausgeweitet. Ein paar wenige Infektionen hat Kaspersky auch in Deutschland erkannt.

Grandoreiro hatte zunächst Nutzer in Lateinamerika im Visier, bevor der Schädling in die USA und europäische Länder (Kaspersky hat ein paar wenige auch in Deutschland ausgemacht) expandierte. Von den vier Tetrade-Familien ist er am weitesten verbreitet, seit dem Jahr 2016 aktiv und folgt einem Malware-as-a-Service-Geschäftsmodell: Verschiedene Cyberkriminelle können Zugriff auf die erforderlichen Tools erwerben, um einen Angriff zu starten. Diese Familie wird über kompromittierte Webseiten sowie über Spear-Phishing verbreitet. Wie Guildma und Javali verbirgt es seine C2-Kommunikation auf legitimen Webseiten von Drittanbietern.

„Brasilianische Cyberkriminelle, wie die hinter diesen vier Banking-Malware-Familien, rekrutieren aktiv Partner in anderen Ländern, um ihre Malware weltweit erfolgreich zu verbreiten“, erklärt Dmitry Bestuzhev, Leiter von GReAT, Lateinamerika. „Darüber hinaus entwickeln sie sich ständig weiter und fügen neue Tricks und Techniken hinzu, um ihre schädlichen Aktivitäten zu verbergen und ihre Angriffe lukrativer zu gestalten. Wir erwarten, dass diese vier Banking-Malware-Familien weitere Länder angreifen – und zudem neue Familien auftauchen werden. Daher ist es wichtig, dass Finanzinstitute diese Bedrohungen genau überwachen und Maßnahmen zur Verbesserung ihrer Betrugsbekämpfungsmöglichkeiten ergreifen.“

Kaspersky-Empfehlung zum Schutz vor Banking-Malware

• Das SOC-Team (Security Operation Center) eines Finanzinstituts sollte Zugriff auf die neueste Threat Intelligence haben, um über neue und aufkommende Tools, Techniken und Taktiken auf dem Laufenden zu bleiben, die von Bedrohungsakteuren und Cyberkriminellen verwendet werden. Beispielsweise enthält Kaspersky Financial Threat Intelligence Reporting [2] IoCs (Indicators of Compromise), Yara-Regeln und Hashes für diese Bedrohungen.
• Zudem sollten Kunden über mögliche Tricks der Cyberkriminellen informiert werden. Kunden sollten dabei regelmäßig Informationen darüber erhalten, wie sie Betrug im Banking-Bereich erkennen und sich in dieser Situation verhalten sollten.
• Eine zuverlässige Anti-Fraud-Lösung wie Kaspersky Fraud Prevention [3] implementieren, die auch komplexe Betrugsfälle erkennt. Eine solche Lösung erkennt nicht nur schädliche Versuche wie JavaScript-Injection, versteckte Remote-Administration-Tools-Verbindung oder Webseiten-Nutzung in der Anfangsphase von Gelddiebstahl, sondern kann auch verdächtiges Verhalten in Konten identifizieren.

Weitere Informationen zu den Banking-Malware-Familien sind verfügbar unter https://securelist.com/the-tetrade-brazilian-banking-malware/97779/

[1] https://securelist.com/the-tetrade-brazilian-banking-malware/97779/ 

[2] https://www.kaspersky.de/enterprise-security/threat-intelligence

[3] https://www.kaspersky.de/enterprise-security/fraud-prevention

Nützliche Links:

• Kaspersky-Analyse zu Tetrade: https://securelist.com/the-tetrade-brazilian-banking-malware/97779/
• Kaspersky Fraud Prevention: https://www.kaspersky.de/enterprise-security/fraud-prevention

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter http://www.kaspersky.com/de/