Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Прокачанный троян Grandoreiro атакует банки по всему миру через Outlook

21/05/24

hack bank-May-21-2024-12-15-40-5055-PM

Хакерская группа, стоящая за банковским трояном Grandoreiro для Windows, возобновила глобальную кампанию с марта 2024 года после операции правоохранительных органов по ликвидации ее инфраструктуры в январе.

По данным IBM X-Force, масштабные фишинговые атаки, вероятно, осуществляемые другими киберпреступниками по модели «malware-as-a-service» (MaaS, вредоносное ПО как услуга), нацелены на более 1500 банков по всему миру из более чем 60 стран Центральной и Южной Америки, Африки, Европы и Индо-Тихоокеанского региона. Об этом пишет Securitylab.

Хотя Grandoreiro изначально фокусировался на Латинской Америке, Испании и Португалии, нынешнее расширение географии, вероятно, является сменой стратегии после попыток бразильских властей закрыть инфраструктуру вредоноса.

Наряду с расширением охвата атак сам вредонос претерпел значительные усовершенствования, что свидетельствует о его активной разработке. «Анализ вредоноса выявил крупные обновления в алгоритмах расшифровки строк и генерации доменов (DGA), а также возможность использовать клиенты Microsoft Outlook на зараженных хостах для дальнейшей рассылки фишинговых писем», — отметили исследователи Golo Mühr и Melissa Frydrych.

Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.

Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое в конечном итоге приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян.

Стоит отметить, что этот этап проверки также пропускает системы, геолоцированные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.

Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.

Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.

«Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook», — пояснили исследователи. «Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам».

«Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что, вероятно, способствует большому объему спама, наблюдаемому от Grandoreiro».

Темы:Банки и финансыУгрозытрояныIBM X-ForceХакерские атаки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...