Η Ομοσπονδιακή Αστυνομία της Βραζιλίας και οι ερευνητές στον τομέα της κυβερνοασφάλειας διέκοψαν τη λειτουργία του τραπεζικού κακόβουλου λογισμικού Grandoreiro, η οποία στοχεύει ισπανόφωνες χώρες με οικονομική απάτη από το 2017.
Η επιχείρηση υποστηρίχθηκε από την ESET, την Interpol, την Εθνική Αστυνομία της Ισπανίας και την Caixa Bank, παρέχοντας όλα κρίσιμα δεδομένα που οδηγούν στον εντοπισμό και τη σύλληψη ατόμων που ελέγχουν την
υποδομή
του κακόβουλου λογισμικού.
Ομοσπονδιακή αστυνομία της Βραζιλίας
ανακοινώθηκε
πέντε συλλήψεις και δεκατρείς ενέργειες έρευνας και κατάσχεσης στο Σάο Πάολο, τη Σάντα Καταρίνα, την Παρά, τον Γκόιας και το Μάτο Γκρόσο.
«Αυτή την Τρίτη, 30 Ιανουαρίου, η Ομοσπονδιακή Αστυνομία ξεκίνησε την Επιχείρηση Grandoreiro για να διερευνήσει τις δραστηριότητες μιας εγκλη
ματ
ικής ομάδας υπεύθυνης για ηλεκτρονική τραπεζική απάτη, χρησιμοποιώντας κακόβουλο λογισμικό τραπεζών με θύματα εκτός Βραζιλίας», ανέφερε η βραζιλιάνικη αστυνομία σε μηχάνημα μεταφρασμένη.
δελτίο τύπου
.
«Η εγκληματική δομή είναι ύποπτη για διακίνηση τουλάχιστον 3,6 εκατομμυρίων ευρώ μέσω απάτης από το 2019».
Σύμφωνα με τα αρχεία της Caixa Bank, οι χειριστές κακόβουλου λογισμικού συνδέονται με απάτη που έχει προκαλέσει ζημιές περίπου 120.000.000 $.
Το
κακόβουλο λογισμικό Grandoreiro
Το Grandoreiro είναι ένας trojan τραπεζικών Windows
τεκμηριώθηκε για πρώτη φορά από την ESET το 2020
η οποία ήταν μια από τις κύριες απειλές για τους ισπανόφωνους από την αρχή της λειτουργίας της το 2017.
Το κακόβουλο λογισμικό παρακολουθεί ενεργά το παράθυρο στο προσκήνιο, αναζητώντας διαδικασίες του προγράμματος περιήγησης ιστού που σχετίζονται με τραπεζικές δραστηριότητες και, εάν υπάρχει αντιστοιχία, ξεκινά την επικοινωνία με τους διακομιστές εντολών και ελέγχου (C2).
Οι εισβολείς πρέπει να αλληλεπιδρούν χειροκίνητα με το κακόβουλο λογισμικό για να πραγματοποιήσουν οικονομική κλοπή, όπως η φόρτωση των σωστών διαδικτυακών εγχύσεων, υποδεικνύοντας μια στοχευμένη και πρακτική προσέγγιση.
Το κακόβουλο λογισμικό μπορεί να εξυπηρετήσει τα θύματα ψεύτικα αναδυόμενα παράθυρα που ψάρεψαν για διαπιστευτήρια, να προσομοιώσουν την είσοδο ποντικιού και πληκτρολογίου για να βοηθήσουν στην απομακρυσμένη πλοήγηση, να στείλει ζωντανή ροή της οθόνης του θύματος, να αποκλείσει την τοπική προβολή για να εμποδίσει τον εντοπισμό και την παρέμβαση και να καταγράψει πατήματα πλήκτρων.
Οι προγραμματιστές του Grandoreiro κυκλοφόρησαν συχνές ενημερώσεις για να προσθέτουν νέες δυνατότητες και να βελτιώνουν τις δυνατότητες του κακόβουλου λογισμικού, γεγονός που υποδηλώνει τη συνεχή χρήση του έργου από τους χειριστές του.
Τον Αύγουστο του 2022, μια έκθεση της Zscaler παρουσίασε μια καμπάνια Grandoreiro που στόχευε σε εργαζόμενους εταιρειών υψηλής αξίας στην Ισπανία και το Μεξικό.
Παρακολούθηση
επιχειρήσεων και θυμάτων
Η ESET θα μπορούσε να εντοπίσει τους διακομιστές του Grandoreiro παρά τη χρήση ενός αλγόριθμου δημιουργίας τομέα (DGA) από το κακόβουλο λογισμικό μέσω ενός συνδυασμού τεχνικών παρακολούθησης και ανάλυσης.
Οι ερευνητές ανέλυσαν τον μηχανισμό DGA, ο οποίος δημιουργεί έναν νέο τομέα κάθε μέρα, και ανακάλυψαν ότι χρησιμοποιεί την τρέχουσα ημερομηνία και την κωδικοποιημένη διαμόρφωση, επιτρέποντάς τους να προβλέψουν μελλοντικούς τομείς.
“Η ESET έχει εξαγάγει συνολικά 105 διαφορετικά dga_ids από τα γνωστά σε εμάς δείγματα Grandoreiro”, εξηγεί
ESET
.
Η εταιρεία κυβερνοασφάλειας παρατήρησε μοτίβα όπου οι τομείς που δημιουργούνται από διαφορετικές διαμορφώσεις DGA επιλύθηκαν στις ίδιες διευθύνσεις IP, υποδεικνύοντας πολλά θύματα συνδεδεμένα στον ίδιο διακομιστή C2.
Διάγραμμα που δείχνει την επικάλυψη
Πηγή: ESET
Χρησιμοποιώντας αυτό το προβάδισμα, η υποδομή του Grandoreiro συγκεντρώθηκε και η ESET μπορούσε να αποκτήσει πληροφορίες για τη θυματολογία και τον όγκο της επιχείρησης.
Τα περισσότερα από τα θύματα βρίσκονται στην Ισπανία, το Μεξικό και τη Βραζιλία, ενώ το λειτουργικό σύστημα που επηρεάζεται περισσότερο είναι τα Windows 10, ακολουθούμενα από 7, 8 και 11.
Grandoreiro θύματα από την έκδοση των Windows
Πηγή: ESET
Η ESET αναφέρει ότι βλέπει καθημερινά 551 μοναδικές συνδέσεις με την υποδομή του Grandoreiro, με 114 να είναι “νέα καθημερινά θύματα”.
Εάν το υπολογίσουμε στη διάρκεια ενός έτους, το Grandoreiro μολύνει δυνητικά πάνω από 41.000 νέους
υπολογιστές
.
Προς το παρόν, δεν είναι σαφές εάν οι συλληφθέντες είχαν ηγετικό ρόλο στην επιχείρηση ή αν υπάρχει κίνδυνος επιστροφής του Grandoreiro στο μέλλον χρησιμοποιώντας νέες υποδομές.
Ωστόσο, η τελευταία διακοπή έχει φέρει τις λειτουργίες κακόβουλου λογισμικού σε πλήρη διακοπή προς το παρόν.
VIA:
bleepingcomputer.com
