Το κακόβουλο λογισμικό Grandoreiro, γνωστό από το 2016, συνεχίζει να εξελίσσεται και να χρησιμοποιεί νέες τεχνικές για την παράκαμψη των μέτρων ασφαλείας, αποδεικνύοντας ότι η ανάπτυξη του λογισμικού παραμένει ενεργή, παρά τις προσπάθειες των αρχών για την καταστολή του.
Σύμφωνα με την ανάλυση της Kaspersky που δημοσιεύθηκε την Τρίτη, «μόνο μέρος της συμμορίας συνελήφθη: οι υπόλοιποι χειριστές του Grandoreiro συνεχίζουν να επιτίθενται σε χρήστες παγκοσμίως, αναπτύσσοντας νέα κακόβουλα λογισμικά και δημιουργώντας νέες υποδομές».
Προηγμένες τεχνικές και νέες τακτικές
Οι νέες τακτικές περιλαμβάνουν τη χρήση αλγορίθμου δημιουργίας τομέων (DGA) για την επικοινωνία με τους διακομιστές ελέγχου (C2), κρυπτογράφηση τύπου ciphertext stealing (CTS), καθώς και την παρακολούθηση των κινήσεων του ποντικιού. Παρατηρήθηκαν επίσης «ελαφρύτερες, τοπικές εκδόσεις» που στοχεύουν συγκεκριμένα τραπεζικούς πελάτες στο Μεξικό.
Το Grandoreiro, το οποίο έχει στόχο τη συλλογή δεδομένων από 1.700 χρηματοπιστωτικά ιδρύματα σε 45 χώρες, λειτουργεί με βάση το μοντέλο κακόβουλου λογισμικού ως υπηρεσία (MaaS). Ωστόσο, φαίνεται να προσφέρεται μόνο σε επιλεγμένους κυβερνοεγκληματίες και αξιόπιστους συνεργάτες.
Σημαντικές εξελίξεις
Μία από τις σημαντικότερες εξελίξεις του 2024 ήταν οι συλλήψεις μελών της ομάδας που βρίσκεται πίσω από το Grandoreiro, γεγονός που προκάλεσε τη διάσπαση της βάσης κώδικα Delphi του κακόβουλου λογισμικού. Αυτό οδήγησε στην ύπαρξη δύο ξεχωριστών βάσεων κώδικα, με τις νεότερες εκδόσεις να διαθέτουν ενημερωμένο κώδικα, ενώ οι παλαιότερες εκδόσεις στοχεύουν αποκλειστικά χρήστες στο Μεξικό, σε περίπου 30 τράπεζες.
Το Grandoreiro διανέμεται κυρίως μέσω phishing email και, σε μικρότερο βαθμό, μέσω κακόβουλων διαφημίσεων. Η πρώτη φάση της μόλυνσης περιλαμβάνει ένα αρχείο ZIP που περιέχει ένα έγκυρο αρχείο και ένα MSI loader για τη λήψη και εκτέλεση του κακόβουλου λογισμικού.
Νέες αλυσίδες επίθεσης
Οι νέες αλυσίδες επίθεσης περιλαμβάνουν εκτελέσιμα αρχεία μεγέθους 390 MB που παραπλανούν ως AMD External Data SSD drivers για να παρακάμψουν τα sandbox και να αποφύγουν τον εντοπισμό.
Το κακόβουλο λογισμικό μπορεί να συλλέγει πληροφορίες συστήματος, να ελέγχει αν το όνομα χρήστη περιέχει τις λέξεις «John» ή «WORK» και να σταματά την εκτέλεση αν αυτές οι λέξεις βρεθούν.
Συνεχής εξέλιξη
Το Grandoreiro μπορεί επίσης να αναζητά προγράμματα προστασίας από ιούς, λογισμικό ασφάλειας τραπεζικών συναλλαγών και να ενεργεί ως clipper για την εκτροπή συναλλαγών κρυπτονομισμάτων.
Η τελευταία έκδοση του λογισμικού είναι εξοπλισμένη με λειτουργίες όπως αυτοενημέρωση, καταγραφή πληκτρολογήσεων, παρακολούθηση email του Outlook και καταγραφή κινήσεων ποντικιού, με σκοπό την απομίμηση της συμπεριφοράς του χρήστη για την παραπλάνηση συστημάτων ανίχνευσης απάτης.
Οι δράστες συνεχίζουν να εξελίσσουν τις τακτικές τους, ενώ η απειλή από τα τραπεζικά trojans της Βραζιλίας επεκτείνεται διεθνώς, καλύπτοντας τα κενά που αφήνουν οι ανατολικοευρωπαϊκές συμμορίες, οι οποίες πλέον ασχολούνται με ransomware.
VIA: FoxReport.gr
