Grandoreiro, yakın zamanda Zscalerin’deki güvenlik analistleri tarafından son saldırılarda tespit edilen bir bankacılık truva atıdır ve tehdit aktörleri onu siber saldırılar için bir vektör olarak kullanıyor.
İspanya’daki kimyasal üretim şirketinde çalışanlar ve Meksika otomotiv ve makine imalat şirketinde çalışanlar Grandoreiro’nun hedefleridir.
En az 2017’den beri bu kötü amaçlı yazılım vahşi ortamda aktif ve yayılıyor. İspanyolca konuşan kullanıcılar için, türünün en ciddi tehditlerinden biri olmaya devam ediyor.
Hedef Kuruluşlar
Haziran 2022’de yeni kampanya başladı ve halen yürütülme aşamasındadır. Bu çabanın bir parçası olarak yeni bir Grandoreiro kötü amaçlı yazılım çeşidi dağıtıldı.
Bu yeni varyanta bir dizi yeni özellik eklendi ve ayrıca tespit ve analiz etmeyi daha zor hale getirmek için yenilenmiş bir komut ve kontrol mekanizması eklendi.
Tehdit aktörlerinin orada bulunan organizasyonları sömürmeye çalıştıkları, esas olarak Meksika ve İspanya gibi İspanyolca konuşulan ülkelerdir.
Bu kampanya aşağıdaki sektörleri hedeflemeyi amaçlamaktadır: –
- Kimyasallar İmalatı
- Otomotiv
- Sivil ve Endüstriyel İnşaat
- makine
- Lojistik – Filo yönetim hizmetleri
Grandoreiro’nun Yetenekleri
Bir ana bilgisayardaki kötü amaçlı yazılımın aşağıdakileri içeren birkaç arka kapı özelliği vardır:-
- tuş günlüğü
- Eski sürümleri ve modülleri daha yeni sürümlerle otomatik olarak güncelleme yeteneği
- Web-Inject’leri kullanma ve belirli web sitelerine erişilmesini kısıtlama
- Komutların yürütülmesi
- Windows’u Yönetmek
- Kurbanın tarayıcısına belirli bir URL sağlanır
- DGA kullanarak C2’de etki alanları oluşturma
- Fare ve klavye hareketlerini taklit etme
enfeksiyon
Aşağıdaki adreslerden birinden geldiği iddia edilen bir e-posta, bulaşma zincirindeki ilk adımdır:-
- Mexico City Başsavcılığı
- İspanya Kamu Bakanlığı
Hangi hedefe ulaşmaya çalıştığınıza bağlı olarak, bunların hepsi değişecektir. Mesajda tartışılan birkaç konu var: –
- Devlet geri ödemeleri
- Dava değişiklik bildirimleri
- Mortgage kredilerinin iptali
Bu e-postalarda kurbanlar, kötü amaçlı kod içeren bir ZIP arşivini indirebilecekleri bir web sitesine yönlendirilir. Saldırgan, dosyayı bir PDF belgesinde saklayarak kurbanı Grandoreiro yükleyici modülünü başlatması için kandırabilir.
Artık uzak bir HTTP dosya sunucusundan Delphi yükü alınır. Yük, 9,2 MB boyutunda sıkıştırılmış bir ZIP dosyası olarak indirilir.
Zip dosyasından çıkarılır çıkarılmaz, onu yürütmekten yükleyici sorumludur. Yükleyici bu aşamaya ulaştığında, sürecin bir parçası olarak aşağıdaki önemli verileri toplar ve C2’ye gönderir:-
- Sistem bilgisi
- Yüklü AV programlarının listesi
- Kripto para cüzdanları
- e-bankacılık uygulamaları
Son yükü imzalamak için kullanılan ASUSTEK’ten imzası çalınan bir sertifika vardı. Grandoreiro’nun, virüslü sistemde çalışması için kurbandan CAPTCHA yanıtlarını çözmesini istediği durumlar bile vardır.
Kötü amaçlı yazılıma, algılanmasını önlemek için çeşitli analiz önleme ve algılama önleme özellikleri eklenir. Temeli atarak daha gizli operasyonlar için temel oluşturmak.
Sponsorlu: Uzaktan Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin