Отчет IBM X-Force: вредоносное ПО Grandoreiro нацелено на более чем 1500 банков в 60 странах

Новый отчет IBM X-Force раскрывает изменения в среде вредоносного ПО Grandoreiro. Банковский троян теперь способен атаковать более 1500 глобальных банков в более чем 60 странах и дополнен новыми функциями.

Кроме того, цели Грандорейро стали шире, поскольку изначально они были нацелены только на испаноязычные страны, тогда как недавние кампании атак были нацелены на страны Европы, Азии и Африки. Кроме того, вредоносная программа теперь отправляет фишинговые электронные письма непосредственно из локального клиента Microsoft Outlook жертвы на адреса электронной почты получателей, найденные в локальной системе.

Что такое Грандорейро?

По данным Интерпола, банковский троян Grandoreiro представляет собой серьезную угрозу в испаноязычных странах с 2017 года. Основные функции вредоносного ПО позволяют киберпреступникам управлять устройствами на зараженном компьютере, включать кейлоггинг, управлять окнами и процессами, открывать браузер и выполнять внутри него JavaScript. он, загружать или скачивать файлы и отправлять электронные письма в дополнение к возможностям банковского трояна.

Анализ различных кампаний атак показывает, что в атаках Grandoreiro участвуют многие операторы, как заявила компания по кибербезопасности «Касперский», которая в июле 2020 года написала: «По-прежнему невозможно связать это вредоносное ПО с какой-либо конкретной группой киберпреступников, хотя ясно, что Кампания использует бизнес-модель MaaS (Malware-as-a-Service)».

СМОТРИТЕ: Исследование «Лаборатории Касперского»: количество устройств, зараженных вредоносным ПО для кражи данных, выросло в 7 раз с 2020 года

Аресты подозреваемых в киберпреступниках, связанных с Grandoreiro, произошли в 2021 году: испанская полиция поймала 16 подозреваемых по обвинению в отмывании средств, украденных с помощью двух банковских троянов, включая Grandoreiro. Совсем недавно бразильские власти арестовали пятерых программистов и администраторов, стоящих за банковским вредоносным ПО, которые подозревались в хищении у жертв средств на сумму более 3,5 миллионов евро.

Тем не менее, вредоносное ПО, разработанное в Бразилии, все еще активно и начало расширять свой целевой список на другие страны, такие как Япония, Нидерланды, Италия и Южная Африка, как сообщается в новом исследовании команды IBM X-Force.

Как работают кампании Grandoreiro?

Все кампании Grandoreiro начинаются с фишинговых писем.

С марта 2024 года в нескольких фишинговых кампаниях Grandoreiro выдавали себя за организации в Мексике, такие как Служба налогового администрирования Мексики, Федеральная комиссия по электроэнергетике Мексики или Служба доходов Аргентины.

С марта 2024 года в электронных письмах используются различные методы социальной инженерии, чтобы побудить пользователя щелкнуть ссылку: последнее уведомление о выплате долга, напоминание о том, что можно получить доступ к выписке по счету в формате PDF или XML или напоминание о необходимости прочитать подробности. в уведомлении о соответствии.

В этих фишинговых кампаниях только пользователи из определенных стран — Мексики, Чили, Испании, Коста-Рики, Перу, Аргентины — перенаправляются на полезную нагрузку при нажатии на ссылку, указанную в электронном письме.

После недавних арестов операторов Grandoreiro исследователи заметили всплеск кампаний, нацеленных на страны, выходящие за рамки обычных испаноязычных стран, включая Японию, Нидерланды, Италию и Южную Африку, с электронными письмами, написанными на английском языке.

Далее идет цепочка заражения

После того, как пользователь щелкает вредоносную ссылку в фишинговом письме, запускается специальный загрузчик, представляющий поддельную капчу Adobe PDF Reader, которая требует щелчка для продолжения выполнения, вероятно, для того, чтобы отличить реальных пользователей от автоматизированных систем, таких как песочницы.

Затем загрузчик собирает некоторые данные жертвы и отправляет их на сервер управления, используя шифрование на основе алгоритмов AES и base64. Данные, отправляемые на C2, состоят из имен компьютеров и пользователей, версии операционной системы, имени антивируса, общедоступного IP-адреса жертвы и списка запущенных процессов. Кроме того, загрузчик проверяет наличие клиента Microsoft Outlook, а также криптокошельков и специальных продуктов банковской безопасности, таких как IBM Trusteer или Topaz OFD.

Загрузчик можно настроить на запрет жертвам из определенных стран на основе их IP-адресов. Один образец вредоносного ПО, обнаруженный IBM X-Force, останавливался, если пользователь находился в России, Чехии, Польше или Нидерландах.

При выполнении всех условий банковский троян Grandoreiro загружается, расшифровывается с помощью алгоритма на основе RC4 и запускается.

Охват более 1500 банков по всему миру

По данным IBM X-Force, список целевых приложений Grandoreiro увеличился до более чем 1500 банков по всему миру, причем банковские приложения также привязаны к регионам. Например, если страна жертвы указана как Бельгия, вредоносная программа будет искать все целевые банковские приложения, связанные с европейским регионом.

Кроме того, вредоносная программа использует 266 уникальных строк для идентификации криптовалютных кошельков.

Последние обновления в Грандорейру

Новый алгоритм DGA

Исследователи Голо Мюр и Мелисса Фридрих тщательно проанализировали вредоносное ПО и обнаружили, что вредоносное ПО, которое традиционно полагалось на алгоритмы генерации доменов для поиска ссылок на свои серверы C2, содержало переработанный DGA.

Новый алгоритм вводит несколько начальных значений для своего DGA, «используемых для расчета разных доменов для каждого режима или функциональности банковского трояна, что позволяет разделить задачи C2 между несколькими операторами в рамках их операции «Вредоносное ПО как услуга», как указано» исследователями.

В одной проанализированной выборке за определенный день 12 доменов могли использоваться в качестве доменов C2, причем четыре из них были активны в этот день и вели к IP-адресам в Бразилии.

Злоупотребление Microsoft Outlook

Последние версии Grandoreiro злоупотребляют локальным программным обеспечением Microsoft Outlook, если оно доступно на зараженном компьютере.

Вредоносная программа взаимодействует с Outlook Security Manager Tool — инструментом, предназначенным для разработки надстроек Outlook. Использование этого инструмента позволяет вредоносному ПО отключать оповещения в Outlook до того, как оно начнет собирать все адреса электронной почты отправителей, найденные в почтовом ящике жертвы, фильтруя адреса электронной почты, чтобы избежать сбора нежелательных адресов, таких как те, которые содержат «норответ», «обратную связь» или «информационный бюллетень». », и это лишь несколько примеров из черного списка вредоносного ПО.

Кроме того, вредоносная программа рекурсивно сканирует части папок жертвы в поисках дополнительных адресов электронной почты и ищет файлы с определенными расширениями, включая .csv, .txt, .xls и .doc.

Затем вредоносное ПО начинает рассылать спам на основе фишинговых шаблонов, полученных со своего сервера C2, а затем удаляет все отправленные электронные письма из почтового ящика жертвы.

Чтобы не быть пойманным пользователем, который мог заметить подозрительное поведение компьютера, вредоносное ПО начинает отправлять электронные письма только тогда, когда последний ввод данных на компьютере происходит не менее пяти минут или дольше в некоторых вариантах вредоносного ПО.

Как защититься от этой угрозы вредоносного ПО Grandoreiro

Проведите тщательный сетевой анализ. В частности, несколько последовательных запросов к ip-api.com/json должны вызывать оповещения и расследования, поскольку это может быть индикатором заражения Grandoreiro. Следите за ключами запуска в реестре Windows. Любое дополнение, выходящее за рамки обычной установки программного обеспечения, должно быть тщательно изучено на предмет обнаружения активности вредоносного ПО. Блокируйте заранее рассчитанные домены DGA через DNS. Разверните программное обеспечение безопасности конечных точек на каждом компьютере для обнаружения вредоносного ПО. Обучите пользователей и персонал обнаруживать фишинговые электронные письма и потенциальные попытки мошенничества. Поддерживайте все оборудование и программное обеспечение в актуальном состоянии и исправляйте их, чтобы не заразиться распространенной уязвимостью.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.