10/04/25
Эта вредоносная программа не только ворует конфиденциальные данные пользователей, но и применяет географическую фильтрацию, чтобы избежать обнаружения за пределами целевых регионов. Благодаря этим приёмам вредонос быстро ускользает от традиционных методов защиты и продолжает распространяться, пишут в Securitylab.
По данным аналитиков ANY.RUN, с 19 февраля по 14 марта был зафиксирован всплеск активности, связанный с Grandoreiro. Признаки указывают на то, что кампания всё ещё продолжается. Главная цель вредоноса — кража банковских учётных данных и предоставление злоумышленникам удалённого доступа к устройству жертвы. Несмотря на то, что Grandoreiro существует уже несколько лет, его структура постоянно меняется, что позволяет ему избегать обнаружения.
Одной из ключевых особенностей текущей волны атак стал геофенсинг — проверка IP-адреса жертвы до запуска основного кода. Если адрес не соответствует целевому региону, вредонос просто прекращает выполнение. Такая тактика не только делает атаку более точечной, но и позволяет ей оставаться незаметной в глобальных системах мониторинга.
Атака начинается с фишингового письма, в котором пользователю предлагается скачать документ, якобы в формате PDF. На деле под этим видом скрывается архив с расширением «.zip» или «.rar», содержащий загрузчик Grandoreiro. После извлечения и запуска вредонос связывается с ip-apicom для определения геоположения. Если жертва находится вне Латинской Америки, выполнение прекращается.
Следующий этап — обход защит на уровне DNS. Вместо обращения к локальному DNS-серверу, вредонос отправляет запрос к сервису dns.google. Так он получает IP-адрес управляющего сервера и тем самым избегает блокировок, основанных на стандартных DNS-фильтрах. После этого Grandoreiro отправляет GET-запрос к полученному адресу и устанавливает соединение с командным центром, откуда может получать дополнительные вредоносные модули или команды для дальнейшего проникновения.
В процессе атаки активируется широкий набор техник, соответствующих категориям MITRE ATT&CK. Grandoreiro способен удалять следы своего присутствия, собирать данные, исследовать систему и получать доступ к учётным данным. Анализ в песочнице показывает, что вредоносный код активирует сразу несколько методик сокрытия и разведки, что делает его особенно опасным в корпоративной среде.
Классические антивирусные решения зачастую не распознают эти действия. Однако интерактивные песочницы позволяют в реальном времени наблюдать весь жизненный цикл вредоноса, выявлять ключевые индикаторы компрометации и своевременно реагировать. От фиктивного PDF-файла до скрытой передачи данных на внешний сервер — каждый этап фиксируется и отображается в анализе.
Для эффективного обнаружения подобных угроз специалисты рекомендуют уделять внимание подозрительным архивам, скачанным по ссылкам из писем, отслеживать обращения к внешним DNS-сервисам сразу после запуска файлов, а также мониторить обращения к IP-геолокационным API. Поведенческий анализ играет решающую роль, особенно при выявлении действий после заражения.
