Tetrade verbreitet sich weltweit

Brasilianische Banking-Malware-Familien Tetrade fordert Opfer in Nordamerika, Lateinamerika und Europa – auch in Deutschland

[datensicherheit.de, 14.07.2020] Die vier komplexen Banking-Malware-Familien „Guildma“, „Javali“, „Melcoz“ und „Grandoreiro“ – auch bekannt als sogenannte Tetrade – hätten nun auch Nutzer in Nordamerika, Lateinamerika und Europa im Visier. „Brasilianer gelten nicht nur im Fußball, sondern auch in der Cybercrime-Szene als kreativ“, so kaspersky anlässlich einer aktuellen Analyse, wonach brasilianische Cyber-Kriminelle derzeit ihre Schadprogramme außerhalb des eigenen Landes verbreiten. Sie setzten eine Vielzahl neuer Techniken ein, um einer Entdeckung durch Anti-Viren-Programme zu entgehen. Unter anderem ließen sie die Kommunikation mit dem Kontrollserver über ein verschlüsseltes Format auf legitimen Webseiten von Drittanbietern wie „facebook“- und „YouTube“-Seiten laufen.

Tetrade: 4 Familien haben es 2020 geschafft, Opfer weltweit ins Visier zu nehmen

Brasilien sei seit Langem ein Hotspot für Banking-Trojaner – eine Malware-Art, welche Anmeldeinformationen für E-Payment- und Online-Banking-Systeme stehle. In der Vergangenheit hätten sich brasilianische Cyber-Kriminelle insbesondere gegen Kunden lokaler Finanzinstitute gerichtet.
Dies habe sich Anfang des Jahres 2011 geändert, als einige Gruppen damit angefangen hätten, ihre Trojaner auch im Ausland zu verbreiten – jedoch noch mit begrenztem Erfolg. Vier Familien, bekannt als „Tetrade“, hätten es nun im Jahr 2020 geschafft, Opfer weltweit ins Visier zu nehmen.

Tetrade: z.B. Malware-Familie Guildma

Die Malware-Familie „Guildma“ sei seit dem Jahr 2015 aktiv und werde überwiegend über Phishing-Mails verbreitet, welche als Geschäftskommunikation oder Benachrichtigungen getarnt seien. Seit der Entdeckung habe „Guildma“ mehrere neue Ausweichtechniken erworben, um einer Entdeckung zu entgehen. Seit dem Jahr 2019 verberge „Guildma“ zudem die eigene böswillige Nutzlast im System des Opfers mithilfe eines speziellen Dateiformats.
Darüber hinaus speichere „Guildma“ die Kommunikation mit dem Kontrollserver in einem verschlüsselten Format auf „facebook“- und „YouTube“-Seiten. Infolgedessen sei der Kommunikationsverkehr nur schwer als schädlich zu erkennen, da Virenschutzprogramme diese Webseiten nicht blockierten und Steuerungsserver Befehle ohne Unterbrechung ausführen könnten. „War Jahr 2015 ,Guildma‘ ausschließlich in Brasilien aktiv, hat er sich mittlerweile in Südamerika, den USA, Deutschland sowie in Portugal und Spanien ausgebreitet.“

Tetrade: z.B. Malware-Familien Javali und Melcoz

Ein weiterer lokaler Banking-Trojaner namens „Javali“ sei seit dem Jahr 2017 aktiv und richte sich gegen Bankkunden in Mexiko (kaspersky hat nach eigenen Angaben ein paar wenige Opfer auch in Deutschland ausgemacht). Wie „Guildma“ werde er über Phishing-Mails verbreitet und nutze „YouTube“, um seine C2-Kommunikation zu hosten.
Die dritte Familie, „Melcoz“, sei seit dem Jahr 2018 aktiv und habe sich seitdem in Ländern wie Mexiko und Spanien ausgeweitet. Ein paar wenige Infektionen habe kaspersky auch in Deutschland erkannt.

Tetrade: z.B. Malware-Familie Grandoreiro

„Grandoreiro“ habe zunächst Nutzer in Lateinamerika im Visier gehabt, bevor der Schädling in die USA und europäische Länder (kaspersky habe ein paar wenige auch in Deutschland ausgemacht) expandiert habe. Von den vier „Tetrade“-Familien sei er am weitesten verbreitet, seit dem Jahr 2016 aktiv und folge einem „Malware-as-a-Service“-Geschäftsmodell:
Verschiedene Cyber-Kriminelle könnten Zugriff auf die erforderlichen Tools erwerben, um einen Angriff zu starten. Diese Familie werde über kompromittierte Webseiten sowie über Spear-Phishing verbreitet. Wie „Guildma“ und „Javali“ verberge es seine C2-Kommunikation auf legitimen Webseiten von Drittanbietern.

Tetrade: Cyber-Kriminelle rekrutieren Partner in anderen Ländern zur Verbreitung

„Brasilianische Cyber-Kriminelle, wie die hinter diesen vier Banking-Malware-Familien, rekrutieren aktiv Partner in anderen Ländern, um ihre Malware weltweit erfolgreich zu verbreiten“, erläutert Dmitry Bestuzhev, Leiter von GReAT, Lateinamerika. Darüber hinaus entwickelten sie sich ständig weiter und fügten neue Tricks und Techniken hinzu, um ihre schädlichen Aktivitäten zu verbergen und ihre Angriffe lukrativer zu gestalten.
Bestuzhev: „Wir erwarten, dass diese vier Banking-Malware-Familien weitere Länder angreifen – und zudem neue Familien auftauchen werden. Daher ist es wichtig, dass Finanzinstitute diese Bedrohungen genau überwachen und Maßnahmen zur Verbesserung ihrer Betrugsbekämpfungsmöglichkeiten ergreifen.“

kaspersky-Empfehlung zum Schutz vor Banking-Malware wie z.B. Tetrade:

• Das SOC-Team (Security Operation Center) eines Finanzinstituts sollte Zugriff auf die neueste „Threat Intelligence“ haben, um über neue und aufkommende Tools, Techniken und Taktiken auf dem Laufenden zu bleiben, die von Bedrohungsakteuren und Cyber-Kkriminellen verwendet werden. Beispielsweise enthält „Kaspersky Financial Threat Intelligence Reporting“ IoCs (Indicators of Compromise), Yara-Regeln und Hashes für diese Bedrohungen.
• Zudem sollten Kunden über mögliche Tricks der Cyber-Kriminellen informiert werden. Kunden sollten dabei regelmäßig Informationen darüber erhalten, wie sie Betrug im Banking-Bereich erkennen und sich in dieser Situation verhalten sollten.
• Eine zuverlässige Anti-Fraud-Lösung (wie z.B. „Kaspersky Fraud Prevention“) implementieren, die auch komplexe Betrugsfälle erkennt. Eine solche Lösung erkennt nicht nur schädliche Versuche wie „JavaScript“-Injection, versteckte Remote-Administration-Tools-Verbindung oder Webseiten-Nutzung in der Anfangsphase von Gelddiebstahl, sondern kann auch verdächtiges Verhalten in Konten identifizieren.

Weitere Informationen zum Thema:

kaspersky SECURELIST, 14.07.2020
Malware descriptions / The Tetrade: Brazilian banking malware goes global

kaspersky
Service / Kaspersky Threat Intelligence

kaspersky
LÖSUNG / Kaspersky Fraud Prevention

datensicherheit.de, 27.05.2019
Banking-Malware: Anstieg um 61 Prozent