Потребителите на повече от 1500 банки по света са изложени

Потребителите на повече от 1500 банки по света са изложени на риск от офанзива на банков троянски кон (снимка: CC0 Public Domain)

Банковият троянски кон Grandoreiro, който беше отстранен през януари 2024 година, се завръща, съгласно нов отчет от звеното за киберсигурност X-Force на IBM. Два месеца след опустошителната офанзива операторите на този злоумишлен програмен продукт възобновиха интензивността си . Новият лист с вирусни цели включва приложения от повече от 1500 банки, работещи в 60 страни.

В края на януари 2024 година Бразилската федерална полиция (FPB), дружно с Международната организация на престъпната полиция (Интерпол), Испанската национална полиция (NPI), ESET и Caixa Bank, отстраниха групата зад Grandoreiro от киберпейзажа. Петима души бяха задържани по време на акцията, а вътрешните правоприлагащи органи направиха тринадесет претърсвания в цяла Бразилия.

Според FPB и NPI, троянският кон Grandoreiro съществува от 2017 година и е ориентиран основно към испаноговорящите страни. Първоначално той се популяризира единствено в Латинска Америка, само че след 2019 година се появи също в Португалия и Испания. По-нататъшното географско разширение наподобява се дължи на опита на бразилските управляващи през януари 2024 година да демонтират инфраструктурата на Grandoreiro за офанзиви против Windows системи.

Голямото завръщане

Екипът на IBM за разузнаване на закани X-Force твърди, че почти 1500 банки допълнително от 60 страни са били жертви на огромна акция, употребяваща троянеца Grandoreiro. Нападенията са почнали единствено два месеца откакто троянският кон беше погубен по време на интернационална правоприлагаща интервенция.

Атаките включват фишинг имейли и подвеждащи фалшификати на държавни организации в Аржентина, Мексико и Южна Африка, които примамват получателите да последват връзки и да започват програмата за евакуиране Grandoreiro, се споделя в отчета. Такъв инструмент за евакуиране започва през май 2024 година доста усъвършенствана версия на банковия троянец.
още по темата
Вирусът включва по-надеждни логаритми за декриптиране и генериране на домейни, обновени механизми за ориентиране и опазване на клиента Microsoft Outlook, уголемен набор от команди и ориентиране към банкови приложения и портфейли за криптовалута.

Когато се започва, зареждащият модул ревизира средата за съществуване на „ пясъчници ”, събира информация за инфектирания хост, изпраща я до сървъра C2 и чака спомагателни указания.

Актуализираният Grandoreiro прибавя също функционалност за профилиране на жертвите. Ако жертвата се намира в Русия, Чешката република, Полша и Холандия или употребява Windows 7 в Съединените щати, тогава по-нататъшното осъществяване на Grandoreiro автоматизирано ще спре от май 2024 година В противоположен случай на машината се зарежда целеви троянец.

П роникване в системата

Атаките стартират с фишинг имейли, които приканват получателите да кликнат върху връзка, с цел да видят фактура или да извършат заплащане, според от естеството на примамката и държавната организация, персонифицирана в известията.

Потребителите, които в последна сметка кликнат върху връзката, се пренасочват към изображение на икона на PDF, което води до евакуиране на ZIP списък, съдържащ изпълнимия файл за евакуиране на Grandoreiro.

Персонализираният размер на програмата за евакуиране е изкуствено повишен до над 100 MB, с цел да се заобиколи софтуерът за сканиране на злотворен програмен продукт.

Широка функционалност

Зловредният програмен продукт Grandoreiro предлага разнороден набор от команди, в това число опция за отваряне на далечен достъп до ИТ система, осъществяване на файлови интервенции и активиране на специфични режими.

Един от новите му модули е предопределен да събира данни от Outlook клиенти и да изпраща спам известия от акаунта на жертвата, което го прави комплицирана и евентуално рискова опасност. Използвайки Outlook Security Manager, хакерите могат да основат добавка, която заобикаля Outlook Object Model Guard, като по този метод позволявай неоторизиран достъп до предпазени обекти.

Подобен метод може да бъде потребен за автоматизиране на избрани задания или работни потоци в Outlook, само че в случай че се приложи погрешно, може да усили риска от уязвимости в сигурността. Трикът заблуждава Outlook Object Model Guard, който демонстрира предизвестия при опит за приемане на достъп до предпазени обекти.

Използвайки местен клиент на Outlook, Grandoreiro може да се популяризира посредством пощенските кутии на инфектираните жертви посредством имейли. Това евентуално способства за огромния размер спам през май 2024 година, следен от откривателите на X-Force.

Какво съставляват банковите троянци

Това са злонамерени стратегии, които крадат финансови и поверителни данни, главно от мобилни устройства като смарт телефони и таблети. Банковите троянски коне постоянно са маскирани като законни приложения или са скрити в формалния програмен продукт.

Троянските коне могат да получат достъп до потребителски устройства, а жертвата да изтегли злонамерените стратегии от неофициални магазини за приложения, като кликне върху връзки или атачмънти към имейл. Веднъж попаднали на устройството на потребителя, вирусите се скриват, с цел да избегнат откриването им от софтуера за сигурност и потребителите.

Троянците могат да записват натискания на клавиши, когато някой взаимодейства с приложения за мобилно банкиране на смарт телефона си, като по този метод събират сензитивна информация от рода на идентификационни данни за вход, ПИН кодове и номера на сметки. Тези данни се изпращат към нападателите, като им дават неоторизиран достъп до потребителския акаунт.

Злонамереният програмен продукт може да употребява подправени ИТ екрани за влизане, които покриват законния интерфейс на приложението за мобилно банкиране на жертвата. И когато потребителите вкарват своите идентификационни данни, те неумишлено ги дават на нападателите.