15/04/20
Специалисты компании IBM X-Force сообщили о новой вредоносной кампании против клиентов испанских банков, в ходе которой злоумышленники используют поддельное расширение для Chrome.
Grandoreiro представляет собой банковский троян, отображающий баннеры во весь экран каждый раз, когда пользователь заходит в свою учетную запись online-банкинга. При этом в фоновом режиме злоумышленники осуществляют несанкционированный перевод денег. До недавнего времени Grandoreiro атаковал исключительно пользователей в Бразилии, однако теперь его операторы решили расширить границы.
Вредоносная кампания началась в феврале 2020 года. Злоумышленники рассылали жертвам спам-сообщения с видеороликами на тему коронавируса. Целью мошенников было заставить пользователей пройти по ссылке на вредоносный сайт, где убеждали их загрузить с Github файл .MSI, который на самом деле являлся загрузчиком вредоносного ПО.
Grandoreiro использует уникальную технику - загружает на устройство жертвы вредоносное расширение для Chrome. Расширение называется “Google Plugin version 1.5.0”, и после его установки в браузере появляется соответствующая кнопка. Расширение запрашивает целый ряд разрешений, в том числе на доступ к истории браузера, отображение уведомлений, модификацию копируемых и вставляемых данных и пр.
По мнению специалистов IBM X-Force, с помощью расширения Grandoreiro похищает файлы cookie, которые злоумышленники затем используют с другого устройства для участия в активном сеансе жертвы.
Установившись на устройстве, вредонос ждет в фоновом режиме, пока жертва зайдет в свою учетную запись на сайте банка, а затем на весь экран открывает баннер, имитирующий страницу запрашиваемого ресурса. Мошенническим образом злоумышленники заставляют пользователя удерживать сеанс активным и выманивают у него учетные данные, позволяющие им незаметно переводить деньги с его счета, не вызывая никаких подозрений у банка.
