На этот раз вредонос вышел далеко за пределы Латинской Америки…
Хакерская группа, стоящая за банковским трояном Grandoreiro для Windows, возобновила глобальную кампанию с марта 2024 года после операции правоохранительных органов по ликвидации ее инфраструктуры в январе.
По данным IBM X-Force, масштабные фишинговые атаки, вероятно, осуществляемые другими киберпреступниками по модели «malware-as-a-service» (MaaS, вредоносное ПО как услуга), нацелены на более 1500 банков по всему миру из более чем 60 стран Центральной и Южной Америки, Африки, Европы и Индо-Тихоокеанского региона.
Хотя Grandoreiro изначально фокусировался на Латинской Америке, Испании и Португалии, нынешнее расширение географии, вероятно, является сменой стратегии после попыток бразильских властей закрыть инфраструктуру вредоноса.
Наряду с расширением охвата атак сам вредонос претерпел значительные усовершенствования, что свидетельствует о его активной разработке. «Анализ вредоноса выявил крупные обновления в алгоритмах расшифровки строк и генерации доменов (DGA), а также возможность использовать клиенты Microsoft Outlook на зараженных хостах для дальнейшей рассылки фишинговых писем», — отметили исследователи Golo Mühr и Melissa Frydrych.
Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.
Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое в конечном итоге приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян.
Стоит отметить, что этот этап проверки также пропускает системы, геолоцированные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.
Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.
Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.
«Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook», — пояснили исследователи. «Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам».
«Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что, вероятно, способствует большому объему спама, наблюдаемому от Grandoreiro».
Невидимка в сети: научим вас исчезать из поля зрения хакеров.
Подпишитесь!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.