Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Прокачанный троян Grandoreiro атакует банки по всему миру через Outlook

21/05/24

hack bank-May-21-2024-12-15-40-5055-PM

Хакерская группа, стоящая за банковским трояном Grandoreiro для Windows, возобновила глобальную кампанию с марта 2024 года после операции правоохранительных органов по ликвидации ее инфраструктуры в январе.

По данным IBM X-Force, масштабные фишинговые атаки, вероятно, осуществляемые другими киберпреступниками по модели «malware-as-a-service» (MaaS, вредоносное ПО как услуга), нацелены на более 1500 банков по всему миру из более чем 60 стран Центральной и Южной Америки, Африки, Европы и Индо-Тихоокеанского региона. Об этом пишет Securitylab.

Хотя Grandoreiro изначально фокусировался на Латинской Америке, Испании и Португалии, нынешнее расширение географии, вероятно, является сменой стратегии после попыток бразильских властей закрыть инфраструктуру вредоноса.

Наряду с расширением охвата атак сам вредонос претерпел значительные усовершенствования, что свидетельствует о его активной разработке. «Анализ вредоноса выявил крупные обновления в алгоритмах расшифровки строк и генерации доменов (DGA), а также возможность использовать клиенты Microsoft Outlook на зараженных хостах для дальнейшей рассылки фишинговых писем», — отметили исследователи Golo Mühr и Melissa Frydrych.

Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.

Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое в конечном итоге приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян.

Стоит отметить, что этот этап проверки также пропускает системы, геолоцированные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.

Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.

Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.

«Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook», — пояснили исследователи. «Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам».

«Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что, вероятно, способствует большому объему спама, наблюдаемому от Grandoreiro».

Темы:Банки и финансыУгрозытрояныIBM X-ForceХакерские атаки
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Кибербезопасность ЦВЦБ – цифровой валюты центрального банка
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Если все планы реализуются, то с 1 апреля 2023 г. цифровой рубль должен появиться в экономическом пространстве
  • Гонка хакеров и защитников. На чьей стороне время?
    Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
    За 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.
  • Обзор изменений в законодательстве. Март, апрель-2022 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Импортозамещение в КИИ. Реестр значимых объектов и изменения в правила категорирования. Отмена плановых проверок по вопросам лицензионного контроля. Единые требования о защите информации в ГИС. Профиль защиты ПО для финансового сектора. Снижение регуляторной и надзорной нагрузки от Банка России. Аккредитация владельцев и операторов ГИС. Изменения в федеральный закон о ПДн.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...