Zscaler ThreatLabz araştırmacıları, Meksika ve İspanya'nın İspanyolca konuşulan ülkelerindeki kuruluşları hedef alan bir Grandoreiro bankacılık kötü amaçlı yazılım kampanyasını gözlemledi.

Grandoreiro, aşağıdaki yetenekleri destekleyen modüler bir arka kapıdır:

• Keylogging
• Auto-Updation for newer versions and modules
• Web-Injects and restricting access to specific websites
• Command execution
• Manipulating windows
• Guiding the victim’s browser to a certain URL
• C2 Domain Generation via DGA (Domain Generation Algorithm)
• Imitating mouse and keyboard movements

Kampanya Haziran 2022'de başladı ve hala devam ediyor, saldırılar Otomotiv, Kimya İmalatı ve diğerleri gibi birçok sektördeki kuruluşları vurdu. Bu kampanyanın arkasındaki tehdit aktörleri, Meksika Devlet Yetkililerinin kimliğine bürünür, kötü amaçlı yazılım, Sandbox'lardan kaçmak için Captcha'nın uygulanmasıyla birlikte birden fazla anti-analiz tekniği kullanır.

“Bu kampanyada, tehdit aktörleri, kurbanları “Grandoreiro”yu indirip yürütmeye teşvik etmek için Mexico City Başsavcılığından ve Kamu Bakanlığından hükümet yetkililerini taklit ediyor. en az 2016'dan beri aktif ve bu özellikle Latin Amerika'daki kullanıcıları hedefliyor." Zscaler tarafından yayınlanan yazıyı okur. "Grandoreiro Delphi'de yazılmıştır ve ikili dosyaları şişirmek için ikili doldurma, sanal alandan kaçınma için Captcha uygulaması ve LatentBot ile aynı kalıpları kullanan komut ve kontrol (CnC) iletişimi gibi teknikleri kullanır."

Bulaşma zinciri, kurbanın makinesine kötü amaçlı bir ZIP arşivi indiren bir web sitesine işaret eden bir bağlantı içeren, İspanyolca yazılmış bir hedef odaklı kimlik avı mesajıyla başlar. Mesajlar, ödeme iadelerini, dava bildirimlerini, ipotek kredilerinin iptalini ve mevduat kuponlarını yem olarak kullanır.

ZIP arşivi, kurbanı açmaya ikna etmek için bir PDF Simgesine sahip Grandoreiro Yükleyici modülünü içerir. Dosya açıldıktan sonra, LatentBot ile aynı trafiği kullanarak C2 sunucusuyla daha fazla iletişim kuran bir Uzak HFS sunucusundan “Grandoreiro” yükünü (400MB) indirir ve yürütür.

Hepsi bu değil. Yükleyici ayrıca sistem bilgilerini toplamak, kurulu antivirüs çözümlerinin, kripto para cüzdanlarının, bankacılık ve posta uygulamalarının bir listesini almak ve bilgileri uzak bir sunucuya sızdırmak için tasarlanmıştır.

Grandoreiro, dünya çapındaki kuruluşlar için ciddi bir tehdit oluşturan sürekli gelişen bir tehdittir.

“Grandoreiro Banking kötü amaçlı yazılımının arkasındaki tehdit aktörleri, güvenlik çözümlerinden kaçmak için yeni anti-analiz hileleri ekleyerek hedeflerine karşı başarılı saldırılar gerçekleştirmek için taktiklerini ve kötü amaçlı yazılımlarını sürekli olarak geliştiriyorlar; diğer Kötü Amaçlı Yazılım ailelerinden devralınan özellikler.” raporu bitirir.