Grandoreiro bankarski trojanac ponovo je aktivan u novim fišing kampanjama koje ciljaju korisnike u Latinskoj Americi i Evropi, izvještava bezbjednosna kompanija Forcepoint.
Aktivan najmanje od 2016. godine, ovaj trojanac je u početku operisao isključivo u Brazilu, ali je prije otprilike pola decenije počeo da cilja i Meksiko, Portugal i Španiju.
Vjeruje se da funkcioniše po modelu malicioznog softvera kao usluge (MaaS) i da je dio Tetrade grupe. Čini se da je preživio pokušaje suzbijanja od strane organa za sprovođenje zakona 2021. i 2024. godine, uključujući i hapšenje nekoliko njegovih operatera.
Početkom 2024. godine, Grandoreiro je ciljao preko 1.500 bankarskih aplikacija i veb stranica u više od 60 zemalja, predstavljajući se kao argentinske, meksičke i južnoafričke državne institucije.
Do četvrtog kvartala te godine, njegov domet se proširio na 1.700 banaka i 276 kripto-novčanika, dodajući Aziju na listu ciljeva i postajući globalna finansijska prijetnja.
Nedavno je Forcepoint otkrio fišing kampanje u kojima se bankarski trojanac predstavlja kao poreske agencije kako bi krao sredstva korisnika u Argentini, Meksiku i Španiji, oslanjajući se na maliciozne linkove ka legitimnom hosting provajderu Contabo.
Žrtvama se dostavlja zamaskirani Visual Basic skript, zajedno sa prikrivenim izvršnim fajlom baziranim na Delphi programskom jeziku, koji služi za krađu njihovih kredencijala. Kompresovani fajlovi sa enkripcijom ili lozinkama koriste se kako bi se izbjegla detekcija.
Fišing mejlovi, koji koriste OVHcloud infrastrukturu, lažno predstavljaju poreske kazne i pod izgovorom PDF dokumenta preuzimaju maliciozni teret sa servisa za dijeljenje fajlova Mediafire.
„Kada se pokrene, malver krade kredencijale, pretražuje direktorijume Bitcoin novčanika i povezuje se sa komandno-kontrolnim serverom. Napadači često mijenjaju poddomene pod contaboserver[.]net kako bi izbjegli detekciju. Korisnici bi trebali biti oprezni, izbjegavati nepoznate mejlove i koristiti bezbjednosne alate za zaštitu od ovakvih prijetnji,“ upozorava Forcepoint.
Izvor: SecurityWeek
