Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой активности семейства банковских троянов Grandoreiro, которые используют тему коронавируса и распространяются на поддельных сайтах.
Как правило, банковский троян распространяется через спам-сообщения электронной почты, используя поддельные обновления Java или Flash. Однако теперь злоумышленники перешли к мошенничеству, связанному с глобальной проблемой — COVID-19. В этом случае троян использует видео с информацией о коронавирусе на фальшивых веб-сайтах. Однако нажатие на видео ведет не к воспроизведению ролика, а к загрузке вредоносного компонента на устройства пользователей.
Стоит отметить, что Grandoreiro активный с 2017 года в Бразилии и Перу, однако в 2019 году его целями стали пользователи Мексики и Испании. Как и в случаях распространения других латиноамериканских банковских троянов, злоумышленники используют фальшивые всплывающие окна для манипулирования действиями пользователей с целью получения их конфиденциальных данных.
Банковский троян Grandoreiro: особенности заражения
Grandoreiro использует функционал бэкдора, который позволяет открывать вредоносные окна, загружать обновления, считывать нажатия клавиш, имитировать действия мыши и клавиатуры, а также направлять жертву на конкретные адреса. Кроме этого, злоумышленники могут выполнить выход пользователя из системы, перезагрузить устройство и заблокировать доступ к определенным веб-сайтам.
Банковский троян Grandoreiro собирает разную информацию о своих жертвах — имя пользователя, название устройства, версия ОС и разрядность, список установленных продуктов по безопасности и наличие программ для защиты доступа к онлайн-банкингу. В некоторых версиях угроза также похищает учетные данные, которые хранятся в Google Chrome и Microsoft Outlook.
«Киберпреступники используют большое количество техник и методов, чтобы избежать обнаружения и эмуляции, например, отключение программного обеспечения для защиты Интернет-банкинга, — комментирует Роберт Шуман, исследователь компании ESET. — Злоумышленники быстро совершенствуют функционал банковского трояна. Почти в каждой новой версии угрозы мы обнаруживаем некоторые изменения. Кроме этого, существуют подозрения, что киберпреступники разрабатывают одновременно несколько вариантов трояна. С технической точки зрения злоумышленники применяют специфическую технику «бинарное заполнение», которая затрудняет обнаружение, сохраняя настоящий файл», — добавляет Роберт Шуман.
Кроме этого, злоумышленники выбирают разные типы загрузчиков в зависимости от кампаний. Эти загрузчики часто хранятся на известных общедоступных онлайн-сервисах, таких как GitHub, Dropbox, Pastebin, 4shared или 4Sync.
Сценарии распространения Grandoreiro
Чтобы получить более подробную информацию о Grandoreiro и идентификаторы компрометации, перейдите по ссылке.