Новий банківський троян: зловмисники продовжують використовувати коронавірус у своїх схемах

Наступна новина

Компанія ESET — лідер в галузі інформаційної безпеки — повідомляє про виявлення нової активності сімейства банківських  троянів Grandoreiro, які використовують тему коронавірусу та поширюються на підробних веб-сайтах.

Зазвичай, банківський троян поширюється через спам-повідомлення електронної пошти, використовуючи підробні оновлення Java або Flash. Однак цього разу зловмисники перейшли до шахрайства, пов’язаного  з глобальною проблемою — COVID-19. У цьому випадку троян використовує відео з інформацією про коронавірус на фальшивих веб-сайтах. Однак натискання на відео призводить не до відтворення ролика, а до завантаження шкідливого компонента на пристрої користувачів.

Варто зазначити, що Grandoreiro  активний з 2017 року в Бразилії та Перу, однак у 2019 році його цілями стали користувачі Мексики та Іспанії. Як і у випадках поширення інших латиноамериканських банківських троянів, зловмисники використовують фальшиві спливаючі вікна для маніпулювання діями користувачів з ціллю отримати їх конфіденційні дані.

Банківський троян Grandoreiro: особливості інфікування

Grandoreiro використовує функціонал бекдора, який дозволяє відкривати шкідливі вікна, завантажувати оновлення, зчитувати натискання клавіш, імітувати дії миші та клавіатури, а також спрямовувати жертву на конкретні адреси. Крім цього, зловмисники можуть виконати вихід користувача з системи, перезавантажити пристрій та заблокувати доступ до певних веб-сайтів.

Банківський троян Grandoreiro збирає різну інформацію про своїх жертв — ім’я користувача, назва пристрою, версія ОС та розрядність, список встановлених продуктів з безпеки та наявність програм для захисту доступу до онлайн-банкінгу. У деяких версіях загроза  також викрадає облікові дані, які зберігаються в Google Chrome та Microsoft Outlook.

«Кіберзлочинці використовують велику кількість технік та методів, щоб уникнути виявлення та емуляції, наприклад, відключення програмного забезпечення для захисту Інтернет-банкінгу, — коментує Роберт Шуман, дослідник компанії ESET. — Зловмисники  швидко вдосконалюють функціонал банківського трояна. Майже в кожній новій версії загрози ми виявляємо деякі зміни. Крім цього, існують підозри, що кіберзлочинці розроблюють одночасно декілька варіантів трояна.  З технічної точки зору зловмисники застосовують специфічну техніку «бінарне заповнення», яка ускладнює виявлення, зберігаючи дійсний файл», — додає Роберт Шуман.

Крім цього, зловмисники обирають різні типи завантажувачів в залежності від кампаній. Ці завантажувачі часто зберігаються на відомих загальнодоступних онлайн-сервісах, таких як GitHub, Dropbox, Pastebin, 4shared або 4Sync.

Сценарії розповсюдження Grandoreiro

Щоб отримати більш детальну інформацію про Grandoreiro та ідентифікатори компрометації, перейдіть за посиланням.