Троянският кон „Grandoreiro“ още атакува в Латинска Америка
Организации в испаноговорящите страни Мексико и Испания са на прицела на нова хакерска акция, в която се употребява като троянски кон приложението „ Grandoreiro “. Най-често са наранени компании в областта на банковото дело.
При тази акция хакерите се показват за държавни чиновници от Главната прокуратура на Мексико Сити и от Министерството на правораздаването. Под формата на фишинг имейли те примамват жертвите да изтеглят „ Grandoreiro “. Кампанията е дейна минимум от 2016 година и е ориентирана съответно към консуматори в Латинска Америка, оповестяват от организацията Zscaler.
Продължаващите офанзиви, които още веднъж бяха регистрирани през юни 2022 година, бяха ориентирани към секторите на автомобилостроенето, гражданското и промишленото строителство, логистиката и машиностроенето, както и промишлености за произвеждане на химикали в Испания.
При него се употребяват голям брой вериги за заразяване, при които се употребяват фишинг имейли, написани на испански, с цел да подмамят евентуалните жертви да кликнат върху вградена връзка, която извлича ZIP списък, съдържащ стратегия за зареждане, маскирана като PDF документ, с цел да се задейства осъществяването.
За да задействат инфекциите и с цел да са по-атрактивни, фишинг известията включват на видно място тематики, свързани с възобновяване на заплащания, уведомления за правосъдни разногласия, отменяне на ипотечни заеми и ваучери за депозити.
„ Този товарач е виновен за изтеглянето, извличането и осъществяването на крайния потребен товар от 400 MB „ Grandoreiro “ от далечен HFS сървър, който в допълнение комуникира с командно-контролния сървър, употребявайки трафик, еднакъв с LatentBot “, изяснява откривателят на Zscaler - Нирадж Шивтаркар.
" И това не е всичко ", продължава киберекспертът. Товарачът също по този начин е планиран да събира информация, да извлича лист с конфигурирани антивирусни стратегии, портфейли за криптовалута, приложения за банкиране и поща и да ексфилтрира информацията към далечен сървър.
Наблюдаван в продължение на минимум шест години, „ Grandoreiro “ е самобитна задна малка врата с набор от функционалности, които му разрешават да записва натискания на клавиши, да извършва случайни команди, да имитира придвижвания на мишката и клавиатурата, да лимитира достъпа до съответни уеб страници, да се актуализира автоматизирано и да обезпечава устойчивостта си посредством смяна в систематичния указател на Windows.
Нещо повече. Злонамереният програмен продукт е написан на Delphi и употребява техники като двоично запълване за увеличение на двоичния размер с 200MB, съдържа CAPTCHA sandbox evasion и C2 връзка, употребяваща поддомейни, генерирани посредством логаритъм за основаване на домейни (DGA).
Системата CAPTCHA изисква ръчно довеждане докрай на теста „ предизвикателство-отговор ”, с цел да се извърши злотворен програмен продукт в компрометираната машина. Това значи, че имплантът не се задейства, в случай че и до момента в който CAPTCHA не бъде задействана от определената жертва.
Голямото предизвикателство е, че „ Grandoreiro “ непрестанно се развива и усъвършенства като злоумишлен програмен продукт с нови характерности за антианализ, предоставяйки на хакерите цялостни благоприятни условия за далечен достъп и представлявайки забележителна опасност за чиновниците и техните организации.
Това ново развиване се случва малко повече от година, откакто испанските правоприлагащи органи задържаха 16 лица, по съмнения, че са част от незаконна мрежа, обвързвана с интервенциите посредством „ Mekotio “ и „ Grandoreiro “ през юли 2021 година.
При тази акция хакерите се показват за държавни чиновници от Главната прокуратура на Мексико Сити и от Министерството на правораздаването. Под формата на фишинг имейли те примамват жертвите да изтеглят „ Grandoreiro “. Кампанията е дейна минимум от 2016 година и е ориентирана съответно към консуматори в Латинска Америка, оповестяват от организацията Zscaler.
Продължаващите офанзиви, които още веднъж бяха регистрирани през юни 2022 година, бяха ориентирани към секторите на автомобилостроенето, гражданското и промишленото строителство, логистиката и машиностроенето, както и промишлености за произвеждане на химикали в Испания.
При него се употребяват голям брой вериги за заразяване, при които се употребяват фишинг имейли, написани на испански, с цел да подмамят евентуалните жертви да кликнат върху вградена връзка, която извлича ZIP списък, съдържащ стратегия за зареждане, маскирана като PDF документ, с цел да се задейства осъществяването.
За да задействат инфекциите и с цел да са по-атрактивни, фишинг известията включват на видно място тематики, свързани с възобновяване на заплащания, уведомления за правосъдни разногласия, отменяне на ипотечни заеми и ваучери за депозити.
„ Този товарач е виновен за изтеглянето, извличането и осъществяването на крайния потребен товар от 400 MB „ Grandoreiro “ от далечен HFS сървър, който в допълнение комуникира с командно-контролния сървър, употребявайки трафик, еднакъв с LatentBot “, изяснява откривателят на Zscaler - Нирадж Шивтаркар.
" И това не е всичко ", продължава киберекспертът. Товарачът също по този начин е планиран да събира информация, да извлича лист с конфигурирани антивирусни стратегии, портфейли за криптовалута, приложения за банкиране и поща и да ексфилтрира информацията към далечен сървър.
Наблюдаван в продължение на минимум шест години, „ Grandoreiro “ е самобитна задна малка врата с набор от функционалности, които му разрешават да записва натискания на клавиши, да извършва случайни команди, да имитира придвижвания на мишката и клавиатурата, да лимитира достъпа до съответни уеб страници, да се актуализира автоматизирано и да обезпечава устойчивостта си посредством смяна в систематичния указател на Windows.
Нещо повече. Злонамереният програмен продукт е написан на Delphi и употребява техники като двоично запълване за увеличение на двоичния размер с 200MB, съдържа CAPTCHA sandbox evasion и C2 връзка, употребяваща поддомейни, генерирани посредством логаритъм за основаване на домейни (DGA).
Системата CAPTCHA изисква ръчно довеждане докрай на теста „ предизвикателство-отговор ”, с цел да се извърши злотворен програмен продукт в компрометираната машина. Това значи, че имплантът не се задейства, в случай че и до момента в който CAPTCHA не бъде задействана от определената жертва.
Голямото предизвикателство е, че „ Grandoreiro “ непрестанно се развива и усъвършенства като злоумишлен програмен продукт с нови характерности за антианализ, предоставяйки на хакерите цялостни благоприятни условия за далечен достъп и представлявайки забележителна опасност за чиновниците и техните организации.
Това ново развиване се случва малко повече от година, откакто испанските правоприлагащи органи задържаха 16 лица, по съмнения, че са част от незаконна мрежа, обвързвана с интервенциите посредством „ Mekotio “ и „ Grandoreiro “ през юли 2021 година.
Източник: banker.bg
КОМЕНТАРИ