Grandoreiro, банковский троянец, ранее специализировавшийся на финансовых учреждениях Латинской Америки, снова активен. Ранее считалось, что он был ликвидирован в результате операции, проведенной Федеральной полицией Бразилии. Однако аналитики Flashpoint сообщили о новых случаях его появления, на этот раз нацеленных на жертв в Северной Америке, Европе, Азии и Африке. С учетом того, что эта угроза из региональной стала глобальной, важно понимать, как работает Grandoreiro и как защититься от него.
Принцип работы GrandoreiroЦель Grandoreiro - кража финансовой информации, учетных данных и проведение несанкционированных денежных переводов. Вредоносное ПО распространяется через фишинговые письма с вредоносными ссылками или вложениями. После начального заражения Grandoreiro использует уникальный модуль, позволяющий ему распространяться через локальные установки Microsoft Outlook.
Троянец использует шаблоны электронных писем, отправляемых сервером управления (C2), чтобы рассылать фишинговые сообщения через Outlook. Он сканирует папку "Входящие" жертвы, фильтруя нежелательные адреса, и отправляет собранные письма с вредоносными ссылками на ZIP-архивы или файлы установщика MSI, маскирующиеся под PDF-документы. Эти файлы содержат загрузчик Grandoreiro, продолжающий заражение других систем.
Загрузчик GrandoreiroЗагрузчик, написанный на Borland Delphi, увеличен до более чем 100 МБ, чтобы избежать антивирусного сканирования. При запуске он требует взаимодействия пользователя с поддельной капчей Adobe Acrobat, чтобы предотвратить выполнение в изолированных средах. После этого вредоносное ПО проводит антианализ, используя стандартные API для перечисления процессов и поиска инструментов анализа и других индикаторов изолированной среды.
Если проверка пройдена, троянец собирает основную информацию о жертве, включая IP-адрес, местоположение, имя пользователя, название компьютера, версию ОС, установленный антивирус, наличие Outlook, количество криптовалютных кошельков и банковских программ. Эти данные отправляются на сервер C2 в зашифрованном виде.
Дополнительные возможности вредоносного ПОGrandoreiro нацелен на кражу финансовых данных и учетных данных для входа, а также на проведение незаконных денежных операций. Он требует взаимодействия с оператором угрозы для выполнения следующих действий:
- Отключение ввода с помощью мыши и блокировка экрана жертвы.
- Установка удаленного контроля для кражи денег без обнаружения.
- Создание поддельных экранов входа или использование кейлоггинга для кражи учетных данных.
- Загрузка и запуск дополнительного вредоносного ПО.
Защита от GrandoreiroGrandoreiro представляет угрозу как для финансовых учреждений, так и для частных лиц. Для защиты от него рекомендуется:
1. Использовать исчерпывающие источники информации об угрозах для отслеживания новых тактик и инструментов.
2. Быть бдительным при работе с электронной почтой, тщательно проверяя адреса отправителей и ссылки.
3. Поддерживать актуальность антивирусного ПО и других средств безопасности.
4. Внедрять многофакторную аутентификацию (MFA) для критически важных систем и учетных записей, чтобы усложнить злоумышленникам доступ даже при краже учетных данных.
5.
Обучать сотрудников вопросам безопасности.