Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Wirus atakuje 1500 systemów bankowości

Wirus atakuje 1500 systemów bankowości

Nowa wersja trojana bankowego Grandoreiro jest bardziej zaawansowana niż kiedykolwiek wcześniej i stanowi zagrożenie dla aż 1500 banków.

Studia Perceptus

Trojan bankowy zagrożeniem dla systemów płatniczych

W marcu 2024 r. pojawiły się informacje o powrocie groźnego trojana bankowego Grandoreiro. Organizacje cyberprzestępcze odpowiedzialne za jego rozwój i dystrybucję wznowiły swoje działania po styczniowych próbach zamknięcia ich infrastruktury przez organy ścigania. 

Nowa fala ataków obejmuje ponad 60 krajów, w tym regiony Ameryki Środkowej i Południowej, Afryki, Europy oraz Azji i Pacyfiku. Zagrożenie dotyczy ponad 1500 instytucji bankowych.

Chociaż Grandoreiro było wcześniej aktywne głównie w Ameryce Łacińskiej, Hiszpanii i Portugalii, teraz rozszerza swoje działania na nowe tereny. Zdaniem ekspertów z IBM X-Force, zmiana strategii może być wynikiem starań brazylijskich władz, które starały się zamknąć infrastrukturę trojana. 

Nowa kampania wykorzystuje ataki phishingowe na dużą skalę, prawdopodobnie wspierane przez innych cyberprzestępców w modelu złośliwego oprogramowania jako usługi (MaaS, Malware as a Service).

Cyberprzestępcy kontra bankowość

Ataki rozpoczynają się od wysyłania wiadomości phishingowych, które zachęcają odbiorców do kliknięcia linku, aby zobaczyć np. fakturę lub dokonać płatności. Kliknięcie go przekierowuje użytkownika do obrazu ikony PDF, który w rzeczywistości prowadzi do pobrania archiwum ZIP zawierającego plik wykonywalny modułu ładującego Grandoreiro.

Moduł ładujący jest celowo zwiększony do 100 MB, aby ominąć zabezpieczenia antywirusowe. 

Po uruchomieniu moduł sprawdza, czy system nie działa w środowisku piaskownicy, a następnie gromadzi podstawowe dane o ofierze, które są wysyłane na serwer dowodzenia i kontroli (C2). Następnie pobierany i uruchamiany jest trojan bankowy.

Złośliwe oprogramowanie atakuje bankowość

Grandoreiro został zaprojektowany tak, aby unikać systemów geolokalizowanych w Rosji, Czechach, Polsce i Holandii. Dodatkowo nie atakuje komputerów z systemem Windows 7 w Stanach Zjednoczonych, które nie mają zainstalowanego programu antywirusowego. 

Po zainfekowaniu systemu trojan ustanawia trwałość za pośrednictwem rejestru Windows i nawiązuje połączenie z serwerem C2 za pomocą zmodyfikowanego algorytmu generowania domen (DGA).

Nowa wersja Grandoreiro wprowadza znaczące ulepszenia, które świadczą o jego aktywnym rozwoju. Analiza wykazała istotne aktualizacje w algorytmach deszyfrowania ciągów znaków i generowania domen. Co więcej, trojan zyskał możliwość wykorzystania klientów Microsoft Outlook na zainfekowanych komputerach do rozprzestrzeniania dalszych wiadomości phishingowych. 

Eksperci ds. cyberbezpieczeństwa – Golo Mühr i Melissa Frydrych podkreślają, że Grandoreiro wykorzystuje narzędzie Outlook Security Manager do obejścia zabezpieczeń Outlook Object Model Guard, co pozwala mu na wysyłanie spamu z lokalnych skrzynek odbiorczych ofiar.

Konsekwencje cyberataków na bankowość

Nowa fala ataków Grandoreiro jest szczególnie niebezpieczna ze względu na swoją globalną skalę i zaawansowanie techniczne. Cyberataki mogą prowadzić do kradzieży danych, strat finansowych oraz zakłóceń w funkcjonowaniu banków. Wysoki poziom złożoności i zdolność do unikania wykrycia sprawiają, że Grandoreiro jest trudnym przeciwnikiem dla specjalistów ds. bezpieczeństwa.

Aby zminimalizować ryzyko infekcji, użytkownicy powinni zachować szczególną ostrożność przy odbieraniu maili z nieznanych źródeł. Zaleca się również regularne aktualizowanie oprogramowania antywirusowego i systemów operacyjnych. Instytucje finansowe powinny wzmocnić swoje systemy ochrony i przeprowadzać regularne audyty bezpieczeństwa.

Ustawa Kamilka

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa