A Windows-alapú Grandoreiro bankokat támadó trójai vírus 2024 márciusában visszatért, miután egy bűnüldözési akció keretein belül lekapcsolták idén januárban.
Az IBM X-Force közleménye szerint a nagyszabású adathalász-támadások – amelyeket valószínűleg más kiberbűnözők is elősegítenek – MaaS modellt használnak, és több mint 60 közép- és dél-amerikai, afrikai, európai és indo-csendes-óceáni országban jelentettek támadásokat. A Grandoreiro-t egyébként leginkább a latin-amerikai, spanyol, portugál és brazil támadásairól ismerték.
A malwareben több különböző újítást és jelentős innovációkat véltek felfedezni a kutatók, ami arra utal, hogy a mai napig is aktívan fejlesztés alatt áll. Egy ilyen támadás menete során a támadók phishing e-maileket küldenek, ahol az áldozatokat arra utasítják, hogy kattintsanak a megadott linkre egy számla megtekintése vagy befizetése céljából (attól függően, hogy milyen kormányzati szervet személyesítenek meg). Azok, akik rákattintanak a linkre, egy PDF képére kapnak átirányítást, amely végül a ZIP-archívumában megbújó Grandoreiro betöltőprogramját telepíti.
A fájlt mesterségesen több mint 100 MB méretűre növelték, hogy átjusson minden anti-malware kereső szoftveren, illetve biztosítja azt is, hogy a megtámadott fél ne legyen sandbox környezetben. Továbbá felelős az áldozatok alapvető adatainak C2 szerverre való küldéséért, és a fő banki trójai vírus telepítéséért és futtatásáért.
Fontos még kiemelni, hogy az ellenőrzési lépés során az Oroszországban, Csehországban, Lengyelországban és Hollandiában található rendszerek, valamint az Egyesült Államokban található, vírusirtó nélkül telepített Windows 7-es gépek is kimaradnak.
A trójai komponens a támadást Windows Registry-n keresztül kiépített perzisztenciával kezdi, majd egy átdolgozott DGA-t használ, hogy kapcsolatba lépjen a C2 szerverrel, ahonnan a további utasításokat kapja. A Grandoreiro több különféle paranccsal rendelkezik, amelyek segítségével a támadók távolról irányíthatják a rendszert, műveleteket végezhetnek fájlokon, speciális üzemmódokat engedélyeznek, ide sorolva egy új modult is, amely segítségével Outlook adatokat szereznek, és a megszerzett áldozatok email címeivel spam maileket küldenek másoknak.
“A helyi Outlook klienssel való interakcióhoz Grandoreiro az Outlook Security Manager eszközt használja, amely egy Outlook-bővítmények fejlesztésére használt szoftver” – mondták a kutatók. “Ennek fő oka az, hogy az Outlook Object Model Guard biztonsági riasztásokat vált ki, ha hozzáférést észlel a védett objektumokhoz”.
