Trojan bankowy zagrożeniem dla systemów płatniczych
W marcu 2024 r. pojawiły się informacje o powrocie groźnego trojana bankowego Grandoreiro. Organizacje cyberprzestępcze odpowiedzialne za jego rozwój i dystrybucję wznowiły swoje działania po styczniowych próbach zamknięcia ich infrastruktury przez organy ścigania.
Nowa fala ataków obejmuje ponad 60 krajów, w tym regiony Ameryki Środkowej i Południowej, Afryki, Europy oraz Azji i Pacyfiku. Zagrożenie dotyczy ponad 1500 instytucji bankowych.
Chociaż Grandoreiro było wcześniej aktywne głównie w Ameryce Łacińskiej, Hiszpanii i Portugalii, teraz rozszerza swoje działania na nowe tereny. Zdaniem ekspertów z IBM X-Force, zmiana strategii może być wynikiem starań brazylijskich władz, które starały się zamknąć infrastrukturę trojana.
Nowa kampania wykorzystuje ataki phishingowe na dużą skalę, prawdopodobnie wspierane przez innych cyberprzestępców w modelu złośliwego oprogramowania jako usługi (MaaS, Malware as a Service).
Cyberprzestępcy kontra bankowość
Ataki rozpoczynają się od wysyłania wiadomości phishingowych, które zachęcają odbiorców do kliknięcia linku, aby zobaczyć np. fakturę lub dokonać płatności. Kliknięcie go przekierowuje użytkownika do obrazu ikony PDF, który w rzeczywistości prowadzi do pobrania archiwum ZIP zawierającego plik wykonywalny modułu ładującego Grandoreiro.
Moduł ładujący jest celowo zwiększony do 100 MB, aby ominąć zabezpieczenia antywirusowe.
Po uruchomieniu moduł sprawdza, czy system nie działa w środowisku piaskownicy, a następnie gromadzi podstawowe dane o ofierze, które są wysyłane na serwer dowodzenia i kontroli (C2). Następnie pobierany i uruchamiany jest trojan bankowy.
Złośliwe oprogramowanie atakuje bankowość
Grandoreiro został zaprojektowany tak, aby unikać systemów geolokalizowanych w Rosji, Czechach, Polsce i Holandii. Dodatkowo nie atakuje komputerów z systemem Windows 7 w Stanach Zjednoczonych, które nie mają zainstalowanego programu antywirusowego.
Po zainfekowaniu systemu trojan ustanawia trwałość za pośrednictwem rejestru Windows i nawiązuje połączenie z serwerem C2 za pomocą zmodyfikowanego algorytmu generowania domen (DGA).
Nowa wersja Grandoreiro wprowadza znaczące ulepszenia, które świadczą o jego aktywnym rozwoju. Analiza wykazała istotne aktualizacje w algorytmach deszyfrowania ciągów znaków i generowania domen. Co więcej, trojan zyskał możliwość wykorzystania klientów Microsoft Outlook na zainfekowanych komputerach do rozprzestrzeniania dalszych wiadomości phishingowych.
Eksperci ds. cyberbezpieczeństwa – Golo Mühr i Melissa Frydrych podkreślają, że Grandoreiro wykorzystuje narzędzie Outlook Security Manager do obejścia zabezpieczeń Outlook Object Model Guard, co pozwala mu na wysyłanie spamu z lokalnych skrzynek odbiorczych ofiar.
Konsekwencje cyberataków na bankowość
Nowa fala ataków Grandoreiro jest szczególnie niebezpieczna ze względu na swoją globalną skalę i zaawansowanie techniczne. Cyberataki mogą prowadzić do kradzieży danych, strat finansowych oraz zakłóceń w funkcjonowaniu banków. Wysoki poziom złożoności i zdolność do unikania wykrycia sprawiają, że Grandoreiro jest trudnym przeciwnikiem dla specjalistów ds. bezpieczeństwa.
Aby zminimalizować ryzyko infekcji, użytkownicy powinni zachować szczególną ostrożność przy odbieraniu maili z nieznanych źródeł. Zaleca się również regularne aktualizowanie oprogramowania antywirusowego i systemów operacyjnych. Instytucje finansowe powinny wzmocnić swoje systemy ochrony i przeprowadzać regularne audyty bezpieczeństwa.