Операция бразильских правоохранительных органов привела к аресту нескольких бразильских операторов, ответственных за вредоносное ПО Grandoreiro.
Федеральная полиция Бразилии заявила, что выдала пять ордеров на временный арест и 13 ордеров на обыск и конфискацию в штатах Сан-Паулу, Санта-Катарина, Пара, Гояс и Мату-Гросу.
Словацкая компания ESET по кибербезопасности, которая оказала дополнительную помощь в этой работе, заявила, что обнаружила конструктивный недостаток в сетевом протоколе Grandoreiro, который помог ей выявить виктимологические закономерности.
Grandoreiro - один из многих латиноамериканских банковских троянов, таких как Javali, Melcoz, Casabeniero, Mekotio и Vadokrist, нацеленный в первую очередь на такие страны, как Испания, Мексика, Бразилия и Аргентина. Известно, что он активен с 2017 года.
В конце октября 2023 года Proofpoint раскрыла подробности фишинговой кампании, в ходе которой обновленная версия вредоносного ПО распространялась среди целей в Мексике и Испании.
Банковский троянец способен как красть данные с помощью кейлоггеров и скриншотов, так и перекачивать информацию для входа в банк из оверлеев, когда зараженная жертва посещает заранее определенные банковские сайты, на которые нацелены субъекты угрозы. Он также может отображать поддельные всплывающие окна и блокировать экран жертвы.
В цепочках атак обычно используются фишинговые приманки, содержащие поддельные документы или вредоносные URL-адреса, открытие или нажатие на которые приводит к развертыванию вредоносного ПО, которое затем устанавливает контакт с сервером командования и контроля (C & C) для удаленного управления машиной вручную.
"Grandoreiro периодически отслеживает окно переднего плана, чтобы найти то, которое принадлежит процессу веб-браузера", - сказал ESET.
"Когда такое окно найдено и его имя совпадает с любой строкой из жестко запрограммированного списка строк, связанных с банком, тогда и только тогда вредоносная программа инициирует связь со своим C & C сервером, отправляя запросы не реже одного раза в секунду, пока не завершится".
Также известно, что злоумышленники, стоящие за вредоносным ПО, примерно с октября 2020 года используют алгоритм генерации доменов (DGA) для динамической идентификации домена назначения для C & C трафика, что затрудняет блокирование, отслеживание или захват инфраструктуры.
Большинство IP-адресов, разрешаемых для этих доменов, предоставляются в основном Amazon Web Services (AWS) и Microsoft Azure, при этом срок службы IP-адресов C & C составляет от 1 до 425 дней. В среднем в день появляется 13 активных и три новых C & C IP-адреса соответственно.
ESET также сообщила, что некорректная реализация Grandoreiro сетевого протокола RealThinClient (RTC) для C & C позволила получить информацию о количестве жертв, подключенных к серверу C & C, определяя в среднем 551 уникальную жертву в день, которые в основном распространены по Бразилии, Мексике и Испании.
Дальнейшее расследование показало, что в среднем 114 новых уникальных жертв подключаются к серверам C & C. Каждый день.
"Операция по уничтожению, проводимая Федеральной полицией Бразилии, была направлена против лиц, которые, как считается, занимают высокие посты в оперативной иерархии Grandoreiro", - говорится в сообщении ESET.
Федеральная полиция Бразилии заявила, что выдала пять ордеров на временный арест и 13 ордеров на обыск и конфискацию в штатах Сан-Паулу, Санта-Катарина, Пара, Гояс и Мату-Гросу.
Словацкая компания ESET по кибербезопасности, которая оказала дополнительную помощь в этой работе, заявила, что обнаружила конструктивный недостаток в сетевом протоколе Grandoreiro, который помог ей выявить виктимологические закономерности.
Grandoreiro - один из многих латиноамериканских банковских троянов, таких как Javali, Melcoz, Casabeniero, Mekotio и Vadokrist, нацеленный в первую очередь на такие страны, как Испания, Мексика, Бразилия и Аргентина. Известно, что он активен с 2017 года.
В конце октября 2023 года Proofpoint раскрыла подробности фишинговой кампании, в ходе которой обновленная версия вредоносного ПО распространялась среди целей в Мексике и Испании.
Банковский троянец способен как красть данные с помощью кейлоггеров и скриншотов, так и перекачивать информацию для входа в банк из оверлеев, когда зараженная жертва посещает заранее определенные банковские сайты, на которые нацелены субъекты угрозы. Он также может отображать поддельные всплывающие окна и блокировать экран жертвы.
В цепочках атак обычно используются фишинговые приманки, содержащие поддельные документы или вредоносные URL-адреса, открытие или нажатие на которые приводит к развертыванию вредоносного ПО, которое затем устанавливает контакт с сервером командования и контроля (C & C) для удаленного управления машиной вручную.
"Grandoreiro периодически отслеживает окно переднего плана, чтобы найти то, которое принадлежит процессу веб-браузера", - сказал ESET.
"Когда такое окно найдено и его имя совпадает с любой строкой из жестко запрограммированного списка строк, связанных с банком, тогда и только тогда вредоносная программа инициирует связь со своим C & C сервером, отправляя запросы не реже одного раза в секунду, пока не завершится".
Также известно, что злоумышленники, стоящие за вредоносным ПО, примерно с октября 2020 года используют алгоритм генерации доменов (DGA) для динамической идентификации домена назначения для C & C трафика, что затрудняет блокирование, отслеживание или захват инфраструктуры.
Большинство IP-адресов, разрешаемых для этих доменов, предоставляются в основном Amazon Web Services (AWS) и Microsoft Azure, при этом срок службы IP-адресов C & C составляет от 1 до 425 дней. В среднем в день появляется 13 активных и три новых C & C IP-адреса соответственно.
ESET также сообщила, что некорректная реализация Grandoreiro сетевого протокола RealThinClient (RTC) для C & C позволила получить информацию о количестве жертв, подключенных к серверу C & C, определяя в среднем 551 уникальную жертву в день, которые в основном распространены по Бразилии, Мексике и Испании.
Дальнейшее расследование показало, что в среднем 114 новых уникальных жертв подключаются к серверам C & C. Каждый день.
"Операция по уничтожению, проводимая Федеральной полицией Бразилии, была направлена против лиц, которые, как считается, занимают высокие посты в оперативной иерархии Grandoreiro", - говорится в сообщении ESET.
