Потребителите на повече от 1500 банки по света са изложени на риск от атака на банков троянски кон (снимка: CC0 Public Domain)
Банковият троянски кон Grandoreiro, който беше елиминиран през януари 2024 г., се завръща, според нов доклад от звеното за киберсигурност X-Force на IBM. Два месеца след опустошителната атака операторите на този злонамерен софтуер подновиха активността си. Новият списък с вирусни цели включва приложения от повече от 1500 банки, работещи в 60 страни.
В края на януари 2024 г. Бразилската федерална полиция (FPB), заедно с Международната организация на криминалната полиция (Интерпол), Испанската национална полиция (NPI), ESET и Caixa Bank, елиминираха групата зад Grandoreiro от киберпейзажа. Петима души бяха арестувани по време на акцията, а вътрешните правоприлагащи органи извършиха тринадесет претърсвания в цяла Бразилия.
Според FPB и NPI, троянският кон Grandoreiro съществува от 2017 г. и е насочен главно към испаноговорящите страни. Първоначално той се разпространи само в Латинска Америка, но след 2019 г. се появи също в Португалия и Испания. По-нататъшното географско разширяване изглежда се дължи на опита на бразилските власти през януари 2024 г. да демонтират инфраструктурата на Grandoreiro за атаки срещу Windows системи.
Голямото завръщане
Екипът на IBM за разузнаване на заплахи X-Force твърди, че приблизително 1500 банки в повече от 60 страни са били жертви на мащабна кампания, използваща троянеца Grandoreiro. Нападенията са започнали само два месеца след като троянският кон беше унищожен по време на международна правоприлагаща операция.
Атаките включват фишинг имейли и подвеждащи имитации на правителствени организации в Аржентина, Мексико и Южна Африка, които примамват получателите да последват връзки и да стартират програмата за изтегляне на Grandoreiro, се казва в доклада. Такъв инструмент за изтегляне стартира през май 2024 г. значително подобрена версия на банковия троянец.
Вирусът включва по-надеждни алгоритми за декриптиране и генериране на домейни, актуализирани механизми за насочване и запазване на клиента Microsoft Outlook, разширен набор от команди и насочване към банкови приложения и портфейли за криптовалута.
Когато се стартира, зареждащият модул проверява средата за наличие на „пясъчници”, събира информация за заразения хост, изпраща я до сървъра C2 и чака допълнителни инструкции.
Актуализираният Grandoreiro добавя също функция за профилиране на жертвите. Ако жертвата се намира в Русия, Чешката република, Полша и Холандия или използва Windows 7 в Съединените щати, тогава по-нататъшното изпълнение на Grandoreiro автоматично ще спре от май 2024 г. В противен случай на машината се зарежда целеви троянец.
Проникване в системата
Атаките започват с фишинг имейли, които приканват получателите да кликнат върху връзка, за да видят фактура или да извършат плащане, в зависимост от естеството на примамката и правителствената организация, персонифицирана в съобщенията.
Потребителите, които в крайна сметка кликнат върху връзката, се пренасочват към изображение на икона на PDF, което води до изтегляне на ZIP архив, съдържащ изпълнимия файл за изтегляне на Grandoreiro.
Персонализираният размер на програмата за изтегляне е изкуствено увеличен до над 100 MB, за да се заобиколи софтуерът за сканиране на зловреден софтуер.
Широка функционалност
Зловредният софтуер Grandoreiro предлага разнообразен набор от команди, включително възможност за отваряне на отдалечен достъп до ИТ система, извършване на файлови операции и активиране на специални режими.
Един от новите му модули е предназначен да събира данни от Outlook клиенти и да изпраща спам съобщения от акаунта на жертвата, което го прави сложна и потенциално опасна заплаха. Използвайки Outlook Security Manager, хакерите могат да създадат добавка, която заобикаля Outlook Object Model Guard, като по този начин позволява неоторизиран достъп до защитени обекти.
Подобен подход може да бъде полезен за автоматизиране на определени задачи или работни потоци в Outlook, но ако се приложи неправилно, може да увеличи риска от уязвимости в сигурността. Трикът заблуждава Outlook Object Model Guard, който показва предупреждения при опит за получаване на достъп до защитени обекти.
Използвайки локален клиент на Outlook, Grandoreiro може да се разпространява чрез имейли от пощенските кутии на заразените жертви. Това вероятно допринася за големия обем спам през май 2024 г., наблюдаван от изследователите на X-Force.
Какво представляват банковите троянци
Това са злонамерени програми, които крадат финансови и поверителни данни, основно от мобилни устройства като смартфони и таблети. Банковите троянски коне често са маскирани като легитимни приложения или са скрити в официалния софтуер.
Троянските коне могат да получат достъп до потребителски устройства, а жертвата да изтегли злонамерените програми от неофициални магазини за приложения, като кликне върху връзки или прикачени файлове към имейл. Веднъж попаднали на устройството на потребителя, вирусите се скриват, за да избегнат откриването им от софтуера за сигурност и потребителите.
Троянците могат да записват натискания на клавиши, когато някой взаимодейства с приложения за мобилно банкиране на смартфона си, като по този начин събират чувствителна информация от рода на идентификационни данни за вход, ПИН кодове и номера на сметки. Тези данни се изпращат към нападателите, като им дават неоторизиран достъп до потребителския акаунт.
Злонамереният софтуер може да използва фалшиви ИТ екрани за влизане, които покриват легитимния интерфейс на приложението за мобилно банкиране на жертвата. И когато потребителите въвеждат своите идентификационни данни, те несъзнателно ги предоставят на нападателите.