Aktuelles, Branche, Studien - geschrieben von dp am Dienstag, Juli 14, 2020 20:08 - noch keine Kommentare
Tetrade verbreitet sich weltweit
Brasilianische Banking-Malware-Familien Tetrade fordert Opfer in Nordamerika, Lateinamerika und Europa – auch in Deutschland
[datensicherheit.de, 14.07.2020] Die vier komplexen Banking-Malware-Familien „Guildma“, „Javali“, „Melcoz“ und „Grandoreiro“ – auch bekannt als sogenannte Tetrade – hätten nun auch Nutzer in Nordamerika, Lateinamerika und Europa im Visier. „Brasilianer gelten nicht nur im Fußball, sondern auch in der Cybercrime-Szene als kreativ“, so kaspersky anlässlich einer aktuellen Analyse, wonach brasilianische Cyber-Kriminelle derzeit ihre Schadprogramme außerhalb des eigenen Landes verbreiten. Sie setzten eine Vielzahl neuer Techniken ein, um einer Entdeckung durch Anti-Viren-Programme zu entgehen. Unter anderem ließen sie die Kommunikation mit dem Kontrollserver über ein verschlüsseltes Format auf legitimen Webseiten von Drittanbietern wie „facebook“- und „YouTube“-Seiten laufen.
Tetrade: 4 Familien haben es 2020 geschafft, Opfer weltweit ins Visier zu nehmen
Brasilien sei seit Langem ein Hotspot für Banking-Trojaner – eine Malware-Art, welche Anmeldeinformationen für E-Payment- und Online-Banking-Systeme stehle. In der Vergangenheit hätten sich brasilianische Cyber-Kriminelle insbesondere gegen Kunden lokaler Finanzinstitute gerichtet.
Dies habe sich Anfang des Jahres 2011 geändert, als einige Gruppen damit angefangen hätten, ihre Trojaner auch im Ausland zu verbreiten – jedoch noch mit begrenztem Erfolg. Vier Familien, bekannt als „Tetrade“, hätten es nun im Jahr 2020 geschafft, Opfer weltweit ins Visier zu nehmen.
Tetrade: z.B. Malware-Familie Guildma
Die Malware-Familie „Guildma“ sei seit dem Jahr 2015 aktiv und werde überwiegend über Phishing-Mails verbreitet, welche als Geschäftskommunikation oder Benachrichtigungen getarnt seien. Seit der Entdeckung habe „Guildma“ mehrere neue Ausweichtechniken erworben, um einer Entdeckung zu entgehen. Seit dem Jahr 2019 verberge „Guildma“ zudem die eigene böswillige Nutzlast im System des Opfers mithilfe eines speziellen Dateiformats.
Darüber hinaus speichere „Guildma“ die Kommunikation mit dem Kontrollserver in einem verschlüsselten Format auf „facebook“- und „YouTube“-Seiten. Infolgedessen sei der Kommunikationsverkehr nur schwer als schädlich zu erkennen, da Virenschutzprogramme diese Webseiten nicht blockierten und Steuerungsserver Befehle ohne Unterbrechung ausführen könnten. „War Jahr 2015 ,Guildma‘ ausschließlich in Brasilien aktiv, hat er sich mittlerweile in Südamerika, den USA, Deutschland sowie in Portugal und Spanien ausgebreitet.“
Tetrade: z.B. Malware-Familien Javali und Melcoz
Ein weiterer lokaler Banking-Trojaner namens „Javali“ sei seit dem Jahr 2017 aktiv und richte sich gegen Bankkunden in Mexiko (kaspersky hat nach eigenen Angaben ein paar wenige Opfer auch in Deutschland ausgemacht). Wie „Guildma“ werde er über Phishing-Mails verbreitet und nutze „YouTube“, um seine C2-Kommunikation zu hosten.
Die dritte Familie, „Melcoz“, sei seit dem Jahr 2018 aktiv und habe sich seitdem in Ländern wie Mexiko und Spanien ausgeweitet. Ein paar wenige Infektionen habe kaspersky auch in Deutschland erkannt.
Tetrade: z.B. Malware-Familie Grandoreiro
„Grandoreiro“ habe zunächst Nutzer in Lateinamerika im Visier gehabt, bevor der Schädling in die USA und europäische Länder (kaspersky habe ein paar wenige auch in Deutschland ausgemacht) expandiert habe. Von den vier „Tetrade“-Familien sei er am weitesten verbreitet, seit dem Jahr 2016 aktiv und folge einem „Malware-as-a-Service“-Geschäftsmodell:
Verschiedene Cyber-Kriminelle könnten Zugriff auf die erforderlichen Tools erwerben, um einen Angriff zu starten. Diese Familie werde über kompromittierte Webseiten sowie über Spear-Phishing verbreitet. Wie „Guildma“ und „Javali“ verberge es seine C2-Kommunikation auf legitimen Webseiten von Drittanbietern.
Tetrade: Cyber-Kriminelle rekrutieren Partner in anderen Ländern zur Verbreitung
„Brasilianische Cyber-Kriminelle, wie die hinter diesen vier Banking-Malware-Familien, rekrutieren aktiv Partner in anderen Ländern, um ihre Malware weltweit erfolgreich zu verbreiten“, erläutert Dmitry Bestuzhev, Leiter von GReAT, Lateinamerika. Darüber hinaus entwickelten sie sich ständig weiter und fügten neue Tricks und Techniken hinzu, um ihre schädlichen Aktivitäten zu verbergen und ihre Angriffe lukrativer zu gestalten.
Bestuzhev: „Wir erwarten, dass diese vier Banking-Malware-Familien weitere Länder angreifen – und zudem neue Familien auftauchen werden. Daher ist es wichtig, dass Finanzinstitute diese Bedrohungen genau überwachen und Maßnahmen zur Verbesserung ihrer Betrugsbekämpfungsmöglichkeiten ergreifen.“
kaspersky-Empfehlung zum Schutz vor Banking-Malware wie z.B. Tetrade:
- Das SOC-Team (Security Operation Center) eines Finanzinstituts sollte Zugriff auf die neueste „Threat Intelligence“ haben, um über neue und aufkommende Tools, Techniken und Taktiken auf dem Laufenden zu bleiben, die von Bedrohungsakteuren und Cyber-Kkriminellen verwendet werden. Beispielsweise enthält „Kaspersky Financial Threat Intelligence Reporting“ IoCs (Indicators of Compromise), Yara-Regeln und Hashes für diese Bedrohungen.
- Zudem sollten Kunden über mögliche Tricks der Cyber-Kriminellen informiert werden. Kunden sollten dabei regelmäßig Informationen darüber erhalten, wie sie Betrug im Banking-Bereich erkennen und sich in dieser Situation verhalten sollten.
- Eine zuverlässige Anti-Fraud-Lösung (wie z.B. „Kaspersky Fraud Prevention“) implementieren, die auch komplexe Betrugsfälle erkennt. Eine solche Lösung erkennt nicht nur schädliche Versuche wie „JavaScript“-Injection, versteckte Remote-Administration-Tools-Verbindung oder Webseiten-Nutzung in der Anfangsphase von Gelddiebstahl, sondern kann auch verdächtiges Verhalten in Konten identifizieren.
Weitere Informationen zum Thema:
kaspersky SECURELIST, 14.07.2020
Malware descriptions / The Tetrade: Brazilian banking malware goes global
kaspersky
Service / Kaspersky Threat Intelligence
kaspersky
LÖSUNG / Kaspersky Fraud Prevention
datensicherheit.de, 27.05.2019
Banking-Malware: Anstieg um 61 Prozent
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren