На этот раз вредонос вышел далеко за пределы Латинской Америки…
Хакерская группа, стоящая за банковским трояном Grandoreiro для Windows, Для просмотра ссылки Войдиили Зарегистрируйся глобальную кампанию с марта 2024 года после операции правоохранительных органов по ликвидации ее инфраструктуры в январе.
По данным IBM X-Force, масштабные фишинговые атаки, вероятно, осуществляемые другими киберпреступниками по модели «malware-as-a-service» ( MaaS , вредоносное ПО как услуга), нацелены на более 1500 банков по всему миру из более чем 60 стран Центральной и Южной Америки, Африки, Европы и Индо-Тихоокеанского региона.
Хотя Grandoreiro изначально фокусировался на Латинской Америке, Испании и Португалии, нынешнее расширение географии, вероятно, является сменой стратегии после попыток бразильских властей закрыть инфраструктуру вредоноса.
Наряду с расширением охвата атак сам вредонос претерпел значительные усовершенствования, что свидетельствует о его активной разработке. «Анализ вредоноса выявил крупные обновления в алгоритмах расшифровки строк и генерации доменов (DGA), а также возможность использовать клиенты Microsoft Outlook на зараженных хостах для дальнейшей рассылки фишинговых писем», — отметили исследователи Golo Mühr и Melissa Frydrych.
Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.
Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое в конечном итоге приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян .
Стоит отметить, что этот этап проверки также пропускает системы, геолоцированные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.
Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.
Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.
«Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook», — пояснили исследователи. «Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам».
«Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что, вероятно, способствует большому объему спама, наблюдаемому от Grandoreiro».
Хакерская группа, стоящая за банковским трояном Grandoreiro для Windows, Для просмотра ссылки Войди
По данным IBM X-Force, масштабные фишинговые атаки, вероятно, осуществляемые другими киберпреступниками по модели «malware-as-a-service» ( MaaS , вредоносное ПО как услуга), нацелены на более 1500 банков по всему миру из более чем 60 стран Центральной и Южной Америки, Африки, Европы и Индо-Тихоокеанского региона.
Хотя Grandoreiro изначально фокусировался на Латинской Америке, Испании и Португалии, нынешнее расширение географии, вероятно, является сменой стратегии после попыток бразильских властей закрыть инфраструктуру вредоноса.
Наряду с расширением охвата атак сам вредонос претерпел значительные усовершенствования, что свидетельствует о его активной разработке. «Анализ вредоноса выявил крупные обновления в алгоритмах расшифровки строк и генерации доменов (DGA), а также возможность использовать клиенты Microsoft Outlook на зараженных хостах для дальнейшей рассылки фишинговых писем», — отметили исследователи Golo Mühr и Melissa Frydrych.
Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.
Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое в конечном итоге приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян .
Стоит отметить, что этот этап проверки также пропускает системы, геолоцированные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.
Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.
Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.
«Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook», — пояснили исследователи. «Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам».
«Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что, вероятно, способствует большому объему спама, наблюдаемому от Grandoreiro».
- Источник новости
- www.securitylab.ru