Uzun zamandır kötü amaçlı yazılımlar ortaya koyma konusunda dünyanın en yaratıcıları arasında kabul edilen Brezilyalı siber suçlular, ürünlerini dünyaya yaymaya başladı. Kaspersky araştırmacılarına göre, Brezilya kaynaklı finansal odaklı dört gelişmiş kötü yazılım ailesi – Guildma, Javali, Melcoz ve Grandoreiro – Kuzey Amerika, Avrupa ve Latin Amerika’daki kullanıcıları hedef almaya başladı. Tetrade olarak bilinen bu dörtlü, gizlenmeye yönelik kullandıkları tekniklerle bankacılık sistemlerini hedef alan kötü amaçlı yazılımların en korkulan örnekleri arasında.
Günümüzün en aktif ve yaratıcı siber suçlularının önemli bir bölümüne ev sahipliği yapan Brezilya, uzun süredir e-ödeme ve çevrim içi bankacılık sistemlerinden kimlik bilgilerini çalan kötü amaçlı yazılımlar ve Truva atları için başlangıç noktası oldu. Böylece siber suçlular mağdurların hesaplarından para çalmayı başardı. Geçmişte Brezilyalı siber suçlular öncelikle yerel finansal kurumların müşterilerini hedef alıyordu. Ancak bu durum 2011 yılının başında birkaç grubun yurt dışına Truva atı ihraç etmeye başlamasıyla ve sınırlı da olsa bir başarı elde etmesiyle değişti. 2020 yılında Tetrade olarak bilinen dört ayrı Truva atı, dünya genelinde dağılmak için gereken yenilikleri hayata geçirdi.
Bu ailelerden biri olan Guildma, 2015’ten beri aktif ve gerçek gibi görünen iş mesajları veya bildirimleri kılığına girerek kimlik avı e-postaları yoluyla yayılıyor.
Guildma, son yıllarda birkaç yeni gizlenme tekniğini uygulamaya koydu ve tespit edilmesini zorlaştırdı. Guildma, 2019’dan beri bulaştığı sistemindeki kötü amaçlı yazılımı özel bir dosya biçimi yardımıyla gizliyor. Buna ek olarak kontrol sunucusuyla iletişimini Facebook ve YouTube sayfalarında şifreli bir biçimde saklıyor. Böylece iletişim trafiğinin kötü amaçlı olarak işaretlenmesini zorlaştırıyor ve hiçbir antivirüs bu web sitelerini engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütebilmesini sağlıyor. 2015 yılında sadece Brezilya’da aktif olan Guildma’ya artık Güney Amerika, ABD, Portekiz ve İspanya’da yaygın olarak rastlanıyor.
Javali olarak bilinen ve 2017’den beri aktif olan bir diğer yerel Truva atı, Brezilya dışında Meksika’daki bankacılık müşterilerini de hedef almaya başladı. Bu da Guildma gibi kimlik avı e-postaları yoluyla yayılıyor ve C2 iletişimi barındırmak için YouTube’u kullanıyor.
Ailenin üçüncü üyesi Melcoz, 2018’den beri aktif olmakla birlikte son zamanlarda Meksika ve İspanya gibi denizaşırı ülkelerde de yaygınlaşmaya başladı.
Son olarak, Grandoreiro, Avrupa ülkelerine sıçramadan önce Latin Amerika’daki kullanıcıları hedef aldı. Aynı zamanda ailenin en yaygın üyesi olan Grandoreiro, 2016’dan beri dolaşımda ve kötü amaçlı yazılımların hizmet olarak sunulduğu bir model izliyor. Yani diğer siber suçluların ücreti karşılığında sunduğu kaynakları kullanmasına izin veriyor.
Bu Truva atı ailesi, güvenliği ihlal edilmiş web siteleri ve spearphishing yoluyla yayılıyor. Ayrıca Guildma ve Javali örneğindeki gibi C2 iletişimini meşru web sitelerinde gizleyebiliyor.
Latin Amerika GReAT Başkanı Dmitry Bestuzhev, şunları söylüyor: “Bu dörtlü ailenin arkasında yer alan Brezilyalı siber suçlular, kötü amaçlı yazılımlarını dünya geneline başarıyla ihraç etmek için aktif olarak diğer ülkelerdeki benzer oluşumlarla iş birliği kuruyorlar. Dahası, etkinliklerini gizlemek ve saldırılarını daha kârlı hale getirmek için sürekli yeni numaralar ve teknikler öğreniyorlar. Önümüzdeki dönemde bu dört örneğin diğer ülkelerde daha fazla bankaya saldırmasını aileye yeni üyelerin katılmasını bekliyoruz. Bu nedenle finansal kurumların bu tehditleri yakından izlemesi ve tedbire yönelik adımlar atması çok önemli.”