Hakeri koji stoje iza bankarskog trojanca Grandoreiro baziranog na Windows- u vratili su se u globalnoj kampanji od marta 2024. nakon što je policija uklonila zakon u januaru.
Napadi krađe identiteta velikih razmjera, koje su vjerovatno omogućili drugi cyber kriminalci putem modela malware-as-a-service (MaaS), ciljaju preko 1.500 banaka širom svijeta, obuhvatajući više od 60 zemalja u Centralnoj i Južnoj Americi, Africi, Evropi i Indo-Pacifik, rekao je IBM X-Force.
Iako je Grandoreiro poznat prvenstveno po fokusu na Latinsku Ameriku, Španiju i Portugal, proširenje je vjerovatno promjena strategije nakon pokušaja brazilskih vlasti da zatvore njegovu infrastrukturu .
Idući ruku pod ruku sa širim otiskom ciljanja, značajna su poboljšanja samog malvera, što ukazuje na aktivan razvoj.
“Analiza zlonamjernog softvera otkrila je velika ažuriranja unutar algoritma za dešifriranje nizova i generiranja domena (DGA), kao i mogućnost korištenja Microsoft Outlook klijenata na zaraženim hostovima za širenje daljnjih phishing emailova”, rekli su istraživači sigurnosti Golo Mühr i Melissa Frydrych .
Napadi počinju s phishing porukama e-pošte koje upućuju primaoce da kliknu na link kako bi pogledali fakturu ili izvršili plaćanje u zavisnosti od prirode mamca i vladinog subjekta koji je predstavljen u porukama.
Korisnici koji na kraju kliknu na link budu preusmjereni na sliku PDF ikone, što na kraju dovodi do preuzimanja ZIP arhive s izvršnom datotekom za učitavanje Grandoreiro.
Prilagođeni učitavač je umjetno naduvan na više od 100 MB kako bi se zaobišao softver za skeniranje protiv zlonamjernog softvera. Takođe je odgovoran da osigura da kompromitovani host ne bude u zaštićenom okruženju, prikuplja osnovne podatke o žrtvama na serveru za komandu i kontrolu (C2) i preuzima i izvršava glavni bankarski trojanac.
Vrijedi istaći da se korak verifikacije takođe radi kako bi se preskočili sistemi geolocirani u Rusiji, Češkoj, Poljskoj i Holandiji, kao i Windows 7 mašine sa sjedištem u SAD bez instaliranog antivirusa.
Trojanska komponenta počinje svoje izvršavanje uspostavljanjem postojanosti preko Windows Registry-a, nakon čega koristi prerađeni DGA za uspostavljanje konekcije sa C2 serverom za primanje daljnjih instrukcija.
Grandoreiro podržava različite komande koje omogućavaju hakerima da daljinski preuzmu sistem, izvode operacije s datotekama i omogućavaju posebne modove, uključujući novi modul koji prikuplja podatke iz Microsoft Outlooka i zloupotrebljava nalog e-pošte žrtve za slanje neželjenih poruka drugim ciljevima.
„Da bi ostvario interakciju sa lokalnim Outlook klijentom, Grandoreiro koristi alatku Outlook Security Manager , softver koji se koristi za razvoj Outlook dodataka“, rekli su istraživači. “Glavni razlog za ovo je taj što Outlook Object Model Guard pokreće sigurnosna upozorenja ako otkrije pristup zaštićenim objektima.”
“Upotrebom lokalnog Outlook klijenta za slanje neželjene pošte, Grandoreiro se može širiti putem inficiranih sandučića žrtava putem e-pošte, što vjerovatno doprinosi velikoj količini neželjene pošte uočenoj od Grandoreira.”
Izvor:The Hacker News