Piątek, 25 października 2024 – 09:05 WIB
Djakarta – Pomimo aresztowania kluczowych operatorów na początku tego roku, Grandoreiro w dalszym ciągu jest wykorzystywane przez swoich partnerów w nowych kampaniach.
Przeczytaj także:
Maja! Infiltracja Google Play, liczba ofiar: 11 milionów osób
Globalny zespół ds. badań i analiz firmy Kaspersky (GReAT) odkrył nową, lżejszą wersję ukierunkowaną na Meksyk, atakującą 30 banków.
Pozostając jednym z najbardziej aktywnych zagrożeń na świecie i atakującym użytkowników ponad 1700 instytucji finansowych oraz 276 aktywów kryptograficznych w 45 krajach, wariant Grandoreiro, aktywny od 2016 r., odpowiadał za około pięć procent ataków trojanów bankowych w tym roku.
Przeczytaj także:
Uważaj na nowe złośliwe oprogramowanie, dane osobowe mogą zostać naruszone w mgnieniu oka
Meksyk to kraj najczęściej atakowany przez różne typy Grandoreiro, w tym nową, lekką wersję, w której w całym 2024 r. odnotowano 51 tys. incydentów.
Po udzieleniu pomocy w skoordynowanej akcji INTERPOL-u, która pomogła władzom brazylijskim w schwytaniu operatorów odpowiedzialnych za operację trojana bankowego Grandoreiro, Kaspersky odkrył, że baza kodowa grupy została podzielona na lżejsze, fragmentaryczne wersje trojana, co usprawniało ataki trojana.
Przeczytaj także:
Bądź ostrożny! Loki obiera za cel Twoją firmę, aby stać się następną ofiarą
W ostatniej analizie zidentyfikowano szczególnie uproszczoną wersję, skierowaną do Meksyku, skierowaną do około 30 instytucji finansowych.
Twórca prawdopodobnie miał dostęp do kodu źródłowego i uruchomił nową kampanię, wykorzystując uproszczone, starożytne szkodliwe oprogramowanie.
Wszystkie ostatnie wydarzenia podkreślają ewoluujący charakter zagrożenia. Fragmentaryczne i lżejsze wersje mogą być trendem, który może rozszerzyć się poza Meksyk i na inne regiony, w tym poza Amerykę Łacińską.
„Grandoreiro działa inaczej niż tradycyjny model „złośliwego oprogramowania jako usługi”, do którego jesteśmy przyzwyczajeni. Na forach w ciemnej sieci nie znajdziesz ogłoszeń sprzedających pakiety Grandoreiro. Wręcz przeciwnie, dostęp do niego wydaje się ograniczony” – powiedział Kaspersky Szef GReAT na Amerykę Łacińską, Fabio Assolini.
Kilka wariantów Grandoreiro, w tym nowe, lekkie wersje i główne szkodliwe oprogramowanie, odpowiadało za około pięć procent globalnych ataków trojanów bankowych wykrytych w tym roku przez firmę Kaspersky, co czyni go jednym z najbardziej aktywnych zagrożeń cybernetycznych na świecie.
Kaspersky przeanalizował także kluczowe próbki Grandoreiro nowsze niż 2024 rok i zaobserwował nową taktykę.
Ten trojan rejestruje aktywność myszy, aby naśladować rzeczywiste wzorce użytkownika, aby uniknąć wykrycia przez systemy bezpieczeństwa oparte na uczeniu maszynowym, które analizują zachowanie.
Odtwarzając naturalne ruchy myszy, szkodliwe oprogramowanie ma na celu oszukanie narzędzi zabezpieczających przed oszustwami, aby uznały dane działanie za uzasadnione. Grandoreiro zastosował technikę kryptograficzną znaną jako kradzież tekstu szyfrowanego (CTS), której Kaspersky nigdy wcześniej nie widział w przypadku złośliwego oprogramowania.
„Ta technika polega na szyfrowaniu sekwencji złośliwego kodu. Grandoreiro ma dużą i złożoną strukturę, co ułatwi narzędziom bezpieczeństwa lub analitykom wykrycie, czy sekwencja nie jest zaszyfrowana. Prawdopodobnie z tego powodu wprowadzono tę nową technikę – aby trudno jest wykryć i przeanalizować ataki” – wyjaśnił.
Następna strona
Wszystkie ostatnie wydarzenia podkreślają ewoluujący charakter zagrożenia. Fragmentaryczne i lżejsze wersje mogą być trendem, który może rozszerzyć się poza Meksyk i na inne regiony, w tym poza Amerykę Łacińską.
