Bankacılık Truva Grandoreiro Latam’daki kurbanları hedeflemek için taktikleri nasıl geliştiriyor?

   Nisan 10, 2025  Posted in CyberSecurityNews


Bankacılık Trojan Grandoreiro

Yeni bir kimlik avı e -postaları dalgası Latin Amerika’da süpürüyor ve bir kez daha Grandoreiro’nun arkasında. Bu bankacılık Truva atı yeni gelen değildir; Yıllarca aktif, daha sofistike ve kaçamaklı bir tehdide dönüşüyor.

Coğrafileştirme ve DNS kaçırma gibi hedeflenen taktiklerle Grandoreiro, standart güvenlik çözümlerinin hemen önünde kalıyor.

En son kampanyaya girmeden önce, Grandoreiro’nun ne olduğunu ve gerçekte ne yapabileceğini bozalım.

Google Haberleri

Grandoreiro nedir?

Grandoreiro, Mekotio ve Vadokrist’i içeren Delphi merkezli kötü amaçlı yazılım ailesinin bir parçası olan Latin Amerika bankacılığı Truva atıdır. Öncelikle Windows makinelerini hedefler ve şu şekilde tasarlanmıştır:

  • Bankacılık kimlik bilgilerini çalmak
  • Günlük tuşları ve etkinliği izleyin
  • Saldırganlara uzaktan erişim sağlayın
  • Sandbox kaçırma ile güvenlik savunmalarını atlayın
  • Coğrafi konum filtreleme yoluyla yürütmeyi sınırlayın
  • DNS-HTTPS (DOH) numaralarını kullanarak C2 sunucularıyla iletişim kurun

Başlangıçta Brezilya’da görülen Grandoreiro, odağını Meksika, Peru, Şili ve diğer Latam bölgelerine genişletti ve operasyonlarını küresel algılama sistemlerinin radarı altında tuttu.

Grandoreiro’nun en son Latam Kimlik avı kampanyasında yeni coğrafi işleme taktikleri

19 Şubat ile 14 Mart arasında, Any. run Araştırmacılar, Grandoreiro aktivitesinde keskin bir artış gördüler, bu sefer kurbanları yerine filtrelemek için coğrafi olarak yeni bir kimlik avı saldırıları dalgasına bağlandı. Ve kampanya henüz bitmedi.

Run’un güvenli etkileşimli sanal alanının içindeki tam yürütme zincirinden geçerek bu kampanyanın arkasındaki taktiklere daha yakından bakalım.

Tam yürütme zincirini görüntüleyin

Grandoreiro kötü amaçlı yazılım herhangi birinin içinde analiz edildi. Run Sandbox

İlk Erişim: Kötü niyetli ekli kimlik avı sayfası

Bu kampanyada enfeksiyon bir kimlik avı sayfasıyla başlar. Run Sandbox’ın içinde, Grandoreiro Yükleyicisini içeren kötü amaçlı bir fermuar veya RAR dosyası sunarken, meşru bir indirme sunuyormuş gibi davranan sahte web sayfasını açıkça görebiliriz.

Herhangi birinin içinde görüntülenen sahte PDF belgesi ile kimlik avı bağlantısı.

Sayfaya daha yakından bakmak kırmızı bir bayrak ortaya çıkar; Rastgele karakterler ve kırık biçimlendirme ile doludur, kullanıcıları kötü amaçlı yazılım indirmek için kandırmak için tasarlanmış aceleyle oluşturulan kimlik avı altyapısının yaygın bir işareti.

Ekibinizi gerçek zamanlı görünürlük, daha derin tehdit bağlamı ve doğru çözümle donatın.

Sandbox hızlı bir şekilde şüpheli aktiviteyi işaretler: arayüzün sağ üst köşesinde, herhangi bir.run kötü niyetli davranışların anında bir kararı verir.

Bankacılık Trojan Grandoreiro
Herhangi bir kişi tarafından tespit edilen kötü niyetli etkinlik.

Dosya indirilip açıldıktan sonra, Grandoreiro hemen harekete geçmez. İlk olarak, coğrafi konumdan başlayarak çevreyi kontrol eder.

Coğrafi konum kontrolü: Latam’da mısınız?

İnfazdan hemen sonra Grandoreiro, IP-API ping atarak kurbanın IP’sini kontrol ediyor[.]com. Konum bir Latin Amerika ülkesinde değilse, hemen kapanır.

Bu coğrafi işleme taktiği, kötü amaçlı yazılımın gereksiz maruziyetten kaçınmasına yardımcı olur ve kampanyayı sıkıca odaklanmış tutar.

Bankacılık Truva atı
Suricata kuralı herhangi birinin içinde tetiklendi. Run Sandbox

Google ile DNS Kınama

Sıradaki, Grandoreiro sistemin DNS ayarlarını kullanmaktan kaçınır. Bunun yerine, komut ve kontrol (C2) alanını çözmek için dns.google’ı sorgular. Bu hile ona yardımcı olur:

  • Yerel DNS filtrelemesini baypas
  • Bağlantıları radarın altında tutun
  • C2 ile güvenilir iletişim sağlayın

C2 sunucusuna bağlanma

C2 alanı çözülürken, kötü amaçlı yazılım bir Talep almak bir bağlantı kurmak için. Bu, saldırganın şunları için kapısını açar:

  • Ek Yükler Dağıtım
  • Kimlik Bilgileri Çalma
  • Makinenin uzaktan kumandasını alın

Buradan, Grandoreiro’nun tam yetenekleri kilidi açıldı ve gizli kalırken hassas veri toplamaya başlıyor.

Bankacılık Trojan Grandoreiro
Herhangi bir kişi tarafından tespit edilen kişisel verilerin çalınması

Run’un sanal alanının içinde, belirli bir saldırıda rakipler tarafından kullanılan tüm taktikleri ve teknikleri görebilirsiniz:

Bankacılık Trojan Grandoreiro
Rakipler tarafından kullanılan MITER ATT & CK taktikleri ve teknikleri

Ne Yapabilirsiniz: Tespit ve Yanıt İpuçları

Grandoreiro’yu erken yakalamak çok önemlidir. İşte ne için izlenmesi gerekenler:

  • PDF olarak gizlenmiş olağandışı fermuar veya rar ataşmanlar
  • Dosya yürütülmesinden hemen sonra DNS.google’a harici DNS aramaları
  • Üçüncü taraf hizmetleri kullanarak coğrafi konum kontrolleri
  • Bilinmeyen IP’lere ani giden bağlantılar
  • Programlı görevler veya dosya değişikliği gibi yürütme sonrası davranışı

Bu sinyaller, özellikle birleştirildiğinde, analistlerin bayılmasına ve yayılmadan önce bir enfeksiyonu durdurmasına yardımcı olabilir.

Siber saldırıları yaymadan önce yakalayın

Grandoreiro, kötü amaçlı yazılımların gizli kalmak için nasıl adapte olduğunun sadece bir örneğidir. Statik tespit artık yeterli değil. Bir sisteme girdikten sonra kötü amaçlı yazılımların yaptıklarına dair görünürlüğe ihtiyacınız vardır.

Karanlıkta çalışmak yerine, ekibiniz kötü amaçlı yazılımları herhangi bir içinde gerçek zamanlı olarak araştırabilir. Run bulut sanal alanında nasıl davrandığını izleyin, mantığını anlayın ve nasıl iletişim kurduğunu görün.

İlk kimlik avı yeminden son C2 bağlantısına kadar, her şeyi olduğu gibi görürsünüz.

Ekibiniz için bu şu anlama geliyor:

  • Daha hızlı, daha emin karar verme
  • Takımlarda paylaşabileceğiniz açık kanıtlar
  • Gerçek dünya davranışından kaynaklanan daha akıllı algılama mantığı
  • Soruşturmadan önlenmeye daha kısa bir yol

15,000+ teams use ANY.RUN to learn, adapt, and defend better every single day. Start your 14-day trial and see what modern threat analysis really looks like. 



Source link