Търсене
Close this search box.

Grandoreiro се завръща по – мощен след прекъсване от полицията

Банковият троянец за Android „Grandoreiro“ се разпространява в рамките на мащабна фишинг кампания в над 60 държави, насочена към клиентски сметки в около 1500 банки.

През януари 2024 г. международна операция на правоприлагащите органи, включваща Бразилия, Испания, Интерпол, ESET и Caixa Bank, обявява прекъсването на операцията със зловредния софтуер, който е бил насочен към испаноговорящите страни от 2017 г. и е причинил загуби за 120 млн. долара.

В същото време в Бразилия са извършени пет ареста и тринадесет действия по претърсване и изземване. Не беше предоставена обаче информация за ролята на арестуваните лица в операцията.

Екипът на IBM X-Force съобщава, че Grandoreiro изглежда се е върнал към мащабни операции от март 2024 г., като вероятно е отдаден под наем на киберпрестъпници чрез модела „зловреден софтуер като услуга“ (MaaS) и сега е насочен и към англоезични държави.

Освен това самият троянски кон е претърпял техническо обновяване, което е добавило много нови мощни функции и подобрения, което показва, че създателите му са избегнали арест и не са били обезкуражени от предишната репресия.

Нови кампании за фишинг

Тъй като множество заплахи вече наемат зловредния софтуер, фишинг примамките са разнообразни и са създадени специално за организациите, към които се е насочил даден киберпрестъпник.

Фишинг имейлите, наблюдавани от IBM, се представят за правителствени организации в Мексико, Аржентина и Южна Африка, главно за организации на данъчната администрация, службите по приходите и федералните комисии за електроенергия.

Имейлите са написани на родния език на получателя, включват официални лога и формати и съдържат призив за действие, като например кликване върху връзки за преглед на фактури, извлечения от сметки или данъчни документи.

Когато получателите щракнат върху тези имейли, те се пренасочват към изображение на PDF файл, което предизвиква изтеглянето на ZIP файл, съдържащ раздут (100 MB) изпълним файл, който е зареждащото устройство Grandoreiro.

Новите характеристики на Grandoreiro

IBM X-Force забеляза няколко нови функции и значителни актуализации в последния вариант на банковия троянец Grandoreiro, които го правят по-уклончива и ефективна заплаха.

Те могат да бъдат обобщени по следния начин:

  • Преработен и подобрен алгоритъм за декриптиране на низове, използващ комбинация от AES CBC и персонализиран декодер.
  • Актуализации на алгоритъма за генериране на домейни (DGA), който сега включва множество семена за разделяне на комуникациите за командване и управление (C2) със задачите на оператора.
  • Нов механизъм, насочен към клиенти на Microsoft Outlook, който деактивира предупрежденията за сигурност и ги използва за изпращане на фишинг към нови цели.
  • Нов механизъм за устойчивост, разчитащ на създаването на ключове за изпълнение в регистъра („HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run“ и „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run“)
  • Разширяване на целевите банкови приложения и включване на портфейли за криптовалути.
  • Разширяване на набора от команди, който вече включва дистанционно управление, качване/изтегляне на файлове, регистриране на клавиши и манипулиране на браузъра чрез команди на JavaScript.

Друга забележителна нова функция е способността на Grandoreiro да извършва подробно профилиране на жертвите и да решава дали ще се изпълни на устройството, което дава на операторите по-добър контрол върху обхвата на таргетиране.

Анализаторите на IBM съобщават, че последната версия на троянеца избягва изпълнение в определени държави като Русия, Чехия, Нидерландия и Полша, както и на машини с Windows 7 в САЩ, където няма активна антивирусна програма.

Гореизложеното ясно показва, че въпреки неотдавнашните действия на правоприлагащите органи Grandoreiro е жив и действа, и за съжаление изглежда по-силен от всякога.

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
Бъдете социални
Още по темата
12/06/2024

Нова заплаха се разпростран...

Невиждан досега зловреден софтуер за Windows,...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
12/06/2024

Кибератака парализира админ...

Град Кливланд, Охайо, се сблъсква с...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!