Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення нової активності сімейства банківських троянів Grandoreiro, які використовують тему коронавірусу та поширюються на підробних веб-сайтах.
Зазвичай, банківський троян поширюється через спам-повідомлення електронної пошти, використовуючи підробні оновлення Java або Flash. Однак цього разу зловмисники перейшли до шахрайства, пов’язаного з глобальною проблемою — COVID-19. У цьому випадку троян використовує відео з інформацією про коронавірус на фальшивих веб-сайтах. Однак натискання на відео призводить не до відтворення ролика, а до завантаження шкідливого компонента на пристрої користувачів.
Варто зазначити, що Grandoreiro активний з 2017 року в Бразилії та Перу, однак у 2019 році його цілями стали користувачі Мексики та Іспанії. Як і у випадках поширення інших латиноамериканських банківських троянів, зловмисники використовують фальшиві спливаючі вікна для маніпулювання діями користувачів з ціллю отримати їх конфіденційні дані.
Банківський троян Grandoreiro: особливості інфікування
Grandoreiro використовує функціонал бекдора, який дозволяє відкривати шкідливі вікна, завантажувати оновлення, зчитувати натискання клавіш, імітувати дії миші та клавіатури, а також спрямовувати жертву на конкретні адреси. Крім цього, зловмисники можуть виконати вихід користувача з системи, перезавантажити пристрій та заблокувати доступ до певних веб-сайтів.
Банківський троян Grandoreiro збирає різну інформацію про своїх жертв — ім’я користувача, назва пристрою, версія ОС та розрядність, список встановлених продуктів з безпеки та наявність програм для захисту доступу до онлайн-банкінгу. У деяких версіях загроза також викрадає облікові дані, які зберігаються в Google Chrome та Microsoft Outlook.
«Кіберзлочинці використовують велику кількість технік та методів, щоб уникнути виявлення та емуляції, наприклад, відключення програмного забезпечення для захисту Інтернет-банкінгу, — коментує Роберт Шуман, дослідник компанії ESET. — Зловмисники швидко вдосконалюють функціонал банківського трояна. Майже в кожній новій версії загрози ми виявляємо деякі зміни. Крім цього, існують підозри, що кіберзлочинці розроблюють одночасно декілька варіантів трояна. З технічної точки зору зловмисники застосовують специфічну техніку «бінарне заповнення», яка ускладнює виявлення, зберігаючи дійсний файл», — додає Роберт Шуман.
Крім цього, зловмисники обирають різні типи завантажувачів в залежності від кампаній. Ці завантажувачі часто зберігаються на відомих загальнодоступних онлайн-сервісах, таких як GitHub, Dropbox, Pastebin, 4shared або 4Sync.
Сценарії розповсюдження Grandoreiro
Щоб отримати більш детальну інформацію про Grandoreiro та ідентифікатори компрометації, перейдіть за посиланням.