W ostatnim czasie odkryto nowe warianty złośliwego oprogramowania bankowego Grandoreiro, które stosują coraz bardziej zaawansowane techniki w celu obejścia środków antyfraudowych. Pomimo działań organów ścigania, które miały na celu zatrzymanie operacji, oprogramowanie to wciąż jest aktywnie rozwijane.
Działalność grupy cyberprzestępczej
Choć niektórzy członkowie grupy odpowiedzialnej za Grandoreiro zostali aresztowani, reszta cyberprzestępców nadal atakuje użytkowników na całym świecie. Jak podaje Kaspersky, operatorzy stojący za Grandoreiro wciąż pracują nad rozwojem nowych wariantów tego oprogramowania oraz ustanawiają nowe infrastruktury do przeprowadzania ataków.
Jednym z najnowszych trików stosowanych przez Grandoreiro jest wykorzystanie algorytmu generowania domen dla komunikacji z serwerami dowodzenia (C2), szyfrowania typu ciphertext stealing oraz śledzenia ruchu myszy. Co ciekawe, stwierdzono, że lżejsze, lokalne wersje tego trojana są ukierunkowane głównie na klientów banków w Meksyku.
Ewolucja i zasięg Grandoreiro
Pierwsza wersja Grandoreiro pojawiła się już w 2016 roku, a od tego czasu oprogramowanie to nieustannie się rozwija, dostosowując się do nowych środków bezpieczeństwa i rozszerzając swój zasięg geograficzny. Obecnie Grandoreiro jest w stanie kraść dane logowania do aż 1700 instytucji finansowych w 45 krajach na całym świecie, w tym przede wszystkim w Ameryce Łacińskiej oraz Europie.
Model działania Grandoreiro opiera się na tzw. „malware-as-a-service” (MaaS), jednak wygląda na to, że dostęp do tego złośliwego oprogramowania mają tylko wybrani cyberprzestępcy i zaufani partnerzy.
Fragmentacja kodu po aresztowaniach
Jednym z najważniejszych wydarzeń dotyczących Grandoreiro w tym roku były aresztowania niektórych członków grupy. To spowodowało fragmentację kodu Delphi, na którym opiera się malware. Obecnie w kampaniach zaobserwowano dwie zróżnicowane wersje kodu: nowsze próbki zaktualizowanego kodu oraz starsze wersje, które atakują głównie użytkowników w Meksyku, klientów około 30 banków.
Grandoreiro jest zazwyczaj rozprowadzany za pośrednictwem wiadomości phishingowych, choć w mniejszym stopniu wykorzystuje także złośliwe reklamy wyświetlane m.in. w Google. Pierwszym etapem ataku jest pobranie pliku ZIP, który zawiera legalny plik oraz ładowarkę MSI odpowiedzialną za pobranie i uruchomienie złośliwego oprogramowania.
Nowe techniki unikania wykrycia
W 2023 roku zaobserwowano kampanie, w których używano wyjątkowo dużych plików wykonywalnych o rozmiarze 390 MB, podszywając się pod sterowniki SSD firmy AMD. Miało to na celu ominięcie piaskownic (sandboxów) i uniknięcie wykrycia. Grandoreiro posiada wiele funkcji, które pozwalają mu zbierać informacje o hoście oraz lokalizacji adresu IP. Oprogramowanie sprawdza również nazwę użytkownika i, jeśli zawiera ona frazy takie jak „John” lub „WORK”, przerywa swoje działanie, co ma najprawdopodobniej na celu uniknięcie atakowania maszyn w środowisku testowym.
Oprogramowanie to potrafi także wyszukiwać na komputerze aktywne rozwiązania antywirusowe, takie jak AVAST, Bitdefender, czy Windows Defender. Przeszukuje także system w poszukiwaniu oprogramowania zabezpieczającego bankowość, takich jak Topaz OFD i Trusteer.
Funkcjonalności Grandoreiro
Grandoreiro oferuje cyberprzestępcom szereg narzędzi umożliwiających skuteczne przeprowadzanie ataków. Oprogramowanie to monitoruje aktywność użytkownika na stronach bankowych oraz w aplikacjach takich jak klienci poczty elektronicznej, VPN, czy chmura. Może także pełnić funkcję „clippera”, czyli narzędzia do podmieniania adresów kryptowalutowych podczas transakcji, co pozwala przestępcom przejąć przesyłane środki.
Jednym z nowszych mechanizmów obronnych stosowanych przez Grandoreiro jest dodanie zabezpieczenia CAPTCHA przed wykonaniem głównego ładunku malware, co ma na celu ominięcie automatycznych analiz. Nowe wersje oprogramowania zostały również wzbogacone o funkcje takie jak autoupdate, rejestrowanie naciśnięć klawiszy, monitorowanie Outlooka w poszukiwaniu określonych słów kluczowych oraz możliwość wysyłania spamu.
Podsumowanie
Grandoreiro jest przykładem złośliwego oprogramowania, które stale ewoluuje i adaptuje się do nowych technologii zabezpieczeń. Cyberprzestępcy odpowiedzialni za rozwój tego malware dążą do obejścia nowoczesnych systemów zabezpieczeń opartych na biometrii behawioralnej oraz uczeniu maszynowym. Dzięki ciągłemu rozwojowi oraz zaawansowanym technikom, Grandoreiro stanowi poważne zagrożenie dla użytkowników bankowości internetowej na całym świecie.
Po uzyskaniu danych logowania, cyberprzestępcy wypłacają skradzione fundusze za pośrednictwem aplikacji transferowych, kryptowalut lub kart podarunkowych, korzystając przy tym z pomocy tzw. „mułów pieniężnych”, którym płacą od 200 do 500 dolarów dziennie za pomoc w przeprowadzaniu transakcji.
Ataki tego rodzaju coraz częściej stanowią zagrożenie nie tylko dla zwykłych użytkowników, ale także dla firm i organizacji, co uwidacznia konieczność stosowania zaawansowanych środków ochrony w świecie cyfrowym.