Hace poco les contamos de un troyano bancario brasileño que luego de haber pasado por México estaba siendo utilizado en varias campañas en Europa, y era especialmente exitoso en España.
Al parecer este tipo de malware es una especialidad local. Los troyanos más elaborados tienen un origen sudamericano.
Nos gustaría decir que la aventura europea del troyano brasileño fue excepcional, pero un reciente informe presentado por Kaspersky apunta en sentido contrario.
Internacionales
Según los investigadores de la firma de seguridad cuatro familias de troyanos bancarios brasileños están comenzando a ser distribuidos a nivel internacional: Guildma, Javali, Grandoreiro y Melcoz.
En realidad los grupos criminales locales dieron sus primeros pasos fuera de Brasil hace ya varios años. En 2011 realizaron los primeros experimentos de exportación. Pero este año es especial porque las amenazas involucradas son los ejemplares más peligrosos.
Guildma
El grupo de criminales Guildma inició sus actividades en 2015 y utiliza más que nada técnicas de phishing con emails disfrazados de mensajes de compañías reales.
En 2019 Guildma comenzó a ocultar el código malicioso en el sistema de sus víctimas utilizando un archivo con un formato especial. Las comunicaciones con su servidor de control están encriptadas y se guardan en páginas de Facebook y Youtube. Todo esto dificulta la identificación del malware.
Guildma opera en Sudamérica, Estados Unidos, Portugal y España.
Javalia
El grupo Javalia comenzó a operar en 2017. También utiliza técnicas de pishing por mail y a YouTube como medio para sus comunicaciones.
Una característica particular es el uso de un archivo MSI con un script de Visual Basic que descarga de forma remota código malicioso, una especie de segunda fase de la infección.
Melcoz
El grupo Melcoz opera desde 2018. El malware que utiliza roba claves de la memoria de los navegadores, pero también tiene un modulo destinado a robar los bitcoins de las billeteras virtuales.
Melcoz se ha expandido a Chile y México, y posiblemente otros países de América Latina.
Grandoreiro
Activo desde 2016, este malware se ofrece bajo un modelo de servicio y es el más empleado de los cuatro destacados. Se distribuye a través de sitios web hackeados y técnicas de phishing focalizado.
