Kampanye Malware Perbankan Grandoreiro Baru yang Menargetkan Pabrikan Spanyol

  • Bagikan
Grandoreiro Banking Malware

Beritaini.top Kampanye Malware Perbankan Grandoreiro Baru yang Menargetkan Pabrikan Spanyol

Malware Perbankan Grandoreiro

Organisasi di negara-negara berbahasa Spanyol di Meksiko dan Spanyol berada di garis bidik kampanye baru yang dirancang untuk memberikan grandoreiro trojan perbankan.

“Dalam kampanye ini, para pelaku ancaman menyamar sebagai pejabat pemerintah dari Kantor Kejaksaan Agung Mexico City dan dari Kementerian Publik dalam bentuk email spear-phishing untuk memikat korban agar mengunduh dan mengeksekusi ‘Grandoreiro,’ trojan perbankan produktif yang telah aktif setidaknya sejak 2016, dan secara khusus menargetkan pengguna di Amerika Latin,” Zscaler dikatakan dalam sebuah laporan.

Serangan yang sedang berlangsung, yang dimulai pada Juni 2022, telah diamati untuk menargetkan sektor otomotif, konstruksi sipil dan industri, logistik, dan mesin melalui berbagai rantai infeksi di Meksiko dan industri manufaktur bahan kimia di Spanyol.

Keamanan cyber

Rantai serangan memerlukan pemanfaatan email spear-phishing yang ditulis dalam bahasa Spanyol untuk mengelabui calon korban agar mengklik tautan tersemat yang mengambil arsip ZIP, yang darinya diekstraksi pemuat yang menyamar sebagai dokumen PDF untuk memicu eksekusi.

Pesan phishing secara mencolok menggabungkan tema seputar pengembalian uang pembayaran, pemberitahuan litigasi, pembatalan pinjaman hipotek, dan voucher setoran, untuk mengaktifkan infeksi.

“Ini [loader] bertanggung jawab untuk mengunduh, mengekstrak, dan menjalankan muatan ‘Grandoreiro’ 400MB terakhir dari server HFS Jarak Jauh yang selanjutnya berkomunikasi dengan [command-and-control] Server menggunakan lalu lintas identik ke LatenBot”kata peneliti Zscaler Niraj Shivtarkar.

Itu tidak semua. Loader juga dirancang untuk mengumpulkan informasi sistem, mengambil daftar solusi antivirus yang diinstal, dompet cryptocurrency, perbankan, dan aplikasi email, dan mengekstrak informasi ke server jarak jauh.

Diamati di alam liar selama setidaknya enam tahun, Grandoreiro adalah pintu belakang modular dengan berbagai fungsi yang memungkinkannya merekam penekanan tombol, menjalankan perintah sewenang-wenang, meniru gerakan mouse dan keyboard, membatasi akses ke situs web tertentu, memperbarui sendiri secara otomatis, dan membangun ketekunan melalui perubahan Registry Windows.

Terlebih lagi, malware ditulis dalam Delphi dan menggunakan teknik seperti padding biner untuk memperbesar ukuran biner sebesar 200MB, implementasi CAPTCHA untuk penghindaran kotak pasir, dan komunikasi C2 menggunakan subdomain yang dihasilkan melalui algoritme pembuatan domain (DGA).

Keamanan cyber

Itu teknik CAPTCHAkhususnya, memerlukan penyelesaian manual dari uji tantangan-tanggapan untuk mengeksekusi malware di mesin yang disusupi, yang berarti bahwa implan tidak dijalankan kecuali dan sampai CAPTCHA diselesaikan oleh korban.

Temuan menunjukkan bahwa Grandoreiro terus berkembang menjadi malware canggih dengan karakteristik anti-analisis baru, memberikan penyerang kemampuan akses jarak jauh penuh dan menimbulkan ancaman signifikan bagi karyawan dan organisasi mereka.

Perkembangan itu juga terjadi sedikit lebih dari setahun setelah lembaga penegak hukum Spanyol menangkap 16 orang yang tergabung dalam jaringan kriminal sehubungan dengan operasi Mekotio dan Grandoreiro pada Juli 2021.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.