Търсене
Close this search box.

Бразилските власти ликвидираха бандата Grandoreiro и арестуваха главатарите

В резултат на операция на бразилските правоприлагащи органи са арестувани няколко бразилски оператори, отговорни за зловредния софтуер Grandoreiro.

Федералната полиция на Бразилия съобщи, че е връчила пет заповеди за временен арест и 13 заповеди за претърсване и изземване в щатите Сао Пауло, Санта Катарина, Пара, Гояс и Мато Гросо.

Словашката фирма за киберсигурност ESET, която предостави допълнителна помощ в усилията, заяви, че е открила недостатък в дизайна на мрежовия протокол на Grandoreiro, който ѝ е помогнал да идентифицира виктимологичните модели.

Grandoreiro е един от многото латиноамерикански банкови троянски коне, като Javali, Melcoz, Casabeniero, Mekotio и Vadokrist, насочени предимно към страни като Испания, Мексико, Бразилия и Аржентина. Известно е, че е активен от 2017 г. насам.

В края на октомври 2023 г. Proofpoint разкрива подробности за фишинг кампания, която разпространява актуализирана версия на зловредния софтуер сред цели в Мексико и Испания.

Банковият троянец има възможности както за кражба на данни чрез кийлогъри и скрийншоти, така и за изсмукване на банкова информация за вход от наслагвания, когато заразената жертва посещава предварително определени банкови сайтове, набелязани от заплахата. Той може също така да показва фалшиви изскачащи прозорци и да блокира екрана на жертвата.

Веригите за атаки обикновено използват фишинг примамки, съдържащи примамливи документи или злонамерени URL адреси, които при отваряне или щракване водят до внедряване на зловреден софтуер, който след това установява контакт със сървър за управление и контрол (C&C) за дистанционно управление на машината по ръчен начин.

„Grandoreiro периодично следи прозореца на преден план, за да намери такъв, който принадлежи на процес на уеб браузър“, казват от ESET.

Grandoreiro Banking Trojan
„Когато бъде намерен такъв прозорец и името му съвпадне с някой низ от твърдо кодиран списък с низове, свързани с банките, тогава и само тогава зловредният софтуер започва комуникация със своя C&C сървър, като изпраща заявки поне веднъж в секунда, докато не бъде прекратен.“

Известно е също така, че от около октомври 2020 г. киберпрестъпниците, които стоят зад злонамерения софтуер, използват алгоритъм за генериране на домейни (DGA), за да идентифицират динамично домейн на дестинация за трафика C&C, което затруднява блокирането, проследяването или превземането на инфраструктурата.

По-голямата част от IP адресите, към които се пренасочват тези домейни, се предоставят предимно от Amazon Web Services (AWS) и Microsoft Azure, като продължителността на живота на C&C IP адресите варира между 1 ден и 425 дни. Средно на ден има съответно 13 активни и три нови C&C IP адреса.

ESET също така заяви, че погрешното прилагане на мрежовия протокол RealThinClient (RTC) за C&C от страна на Grandoreiro  е позволило да се получи информация за броя на жертвите, които са свързани към C&C сървъра, като е определил средно 551 уникални жертви за ден, които са разпределени главно в Бразилия, Мексико и Испания.

По-нататъшното разследване установи, че средно 114 нови уникални жертви се свързват със сървърите C&C всеки ден.

„Операцията по прекъсване на работата, ръководена от Федералната полиция на Бразилия, е насочена към лица, за които се смята, че са високопоставени в йерархията на операцията на Grandoreiro „, казват от ESET.

 

Източник: The Hacker News

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
Бъдете социални
Още по темата
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
19/04/2024

Пробиха MITRE чрез нулевите...

Корпорацията MITRE твърди, че подкрепяна от...
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!