Günümüzün en canlı ve yaratıcı siber suçlularının önemli bir bölümüne konut sahipliği yapan Brezilya, uzun vadedir e-ödeme ve çevrim içi bankacılık sistemlerinden kimlik bilgilerini çalan beğenilmeyen amaçlı yazılımlar ve Truva atları için başlangıç noktası oldu. Böylelikle siber hatalılar mağdurların hesaplarından para çalmayı başardı. Geçmişte Brezilyalı siber hatalılar öncelikle lokal finansal kurumların müşterilerini maksat alıyordu. Ama bu durum 2011 yılının başında birkaç kümenin yurt dışına Truva atı ihraç etmeye başlamasıyla ve sonlu da olsa bir muvaffakiyet elde etmesiyle değişti. 2020 yılında Tetrade olarak bilinen dört başka Truva atı, dünya genelinde dağılmak için gereken yenilikleri hayata geçirdi.
Bu ailelerden biri olan Guildma, 2015’ten beri etkin ve gerçek üzere görünen iş iletileri yahut bildirimleri kılığına girerek kimlik avı e-postaları yoluyla yayılıyor.
Guildma, son yıllarda birkaç yeni gizlenme tekniğini tatbike koydu ve tespit edilmesini zorlaştırdı. Guildma, 2019’dan beri bulaştığı sistemindeki istenilmeyen amaçlı yazılımı hususî bir evrak biçimi yardımıyla gizliyor. Buna ek olarak denetim sunucusuyla iletişimini Facebook ve YouTube sahifelerinde şifreli bir biçimde saklıyor. Böylelikle iletişim trafiğinin istenilmeyen amaçlı olarak işaretlenmesini zorlaştırıyor ve hiçbir antivirüs bu web sitelerini engellemediğinden, denetim sunucusunun komutları kesintisiz olarak yürütebilmesini sağlıyor. 2015 yılında yalnızca Brezilya’da canlı olan Guildma’ya artık Güney Amerika, ABD, Portekiz ve İspanya’da yaygın olarak rastlanıyor.
Javali olarak bilinen ve 2017’den beri faal olan bir sair mahallî Truva atı, Brezilya dışında Meksika’daki bankacılık müşterilerini de gaye almaya başladı. Bu da Guildma üzere kimlik avı e-postaları yoluyla yayılıyor ve C2 iletişimi barındırmak için YouTube’u kullanıyor.
Ailenin üçüncü üyesi Melcoz, 2018’den beri canlı olmakla birlikte son zamanlarda Meksika ve İspanya üzere denizaşırı ülkelerde de yaygınlaşmaya başladı.
Son olarak, Grandoreiro, Avrupa ülkelerine sıçramadan önce Latin Amerika’daki kullanıcıları gaye aldı. Birebir zamanda ailenin en yaygın üyesi olan Grandoreiro, 2016’dan beri dolaşımda ve beğenilmeyen amaçlı yazılımların hizmet olarak sunulduğu bir model izliyor. Yani sair siber hatalıların fiyatı karşılığında sunduğu kaynakları kullanmasına müsaade veriyor.
Bu Truva atı ailesi, güvenliği ihlal edilmiş web siteleri ve spearphishing yoluyla yayılıyor. Ayrıyeten Guildma ve Javali örneğindeki üzere C2 iletişimini legal web sitelerinde gizleyebiliyor.
Latin Amerika GReAT Başkanı Dmitry Bestuzhev, şunları söylüyor: “Bu dörtlü ailenin arkasında konum alan Brezilyalı siber hatalılar, berbat amaçlı yazılımlarını dünya geneline muvaffakiyetle ihraç etmek için canlı olarak gayri ülkelerdeki emsal oluşumlarla iş birliği kuruyorlar. Dahası, etkinliklerini gizlemek ve akınlarını daha kârlı hale getirmek için mütemadi yeni numaralar ve teknikler öğreniyorlar. Önümüzdeki dönemde bu dört örneğin öteki ülkelerde daha fazla bankaya saldırmasını aileye yeni üyelerin katılmasını bekliyoruz. Bu nedenle finansal kurumların bu tehditleri yakından izlemesi ve önleme yönelik adımlar atması çok önemli.”
