Grandoreiro: Moderni bankarski trojanac

AUTOR ·

Grandoreiro je sofisticirani bankarski trojanac koji već duže vreme izaziva haos u svetu sajber bezbednosti. Ovaj zlonamjerni softver, poznat i kao Andromeda ili Gamarue, poznat je po svojoj sposobnosti da izbjegne otkrivanje i brzo se prilagodi novim bezbjednosnim mjerama. Prema istraživanju IBM X-Force sigurnosnih istraživača, sad nakon policijske operacije u januaru koja je poremetila njegovo funkcionisanje, ovaj zlonamjerni softver se vraća u velikoj phishing kampanji u preko 60 zemalja, ciljajući na račune klijenata otprilike 1.500 banaka.

Grandoreiro

Grandoreiro: Moderni bankarski trojanac; Source: Bing Image Creator

GRANDOREIRO

Bankarski trojanac Grandoreiro, ozloglašeni zlonamjerni softver namijenjen za napad na Windows operativne sisteme, poznat po svom fokusu na finansijske institucije, ponovo se pojavio u velikoj globalnoj kampanji od marta 2024. godine. Ovaj povratak je uslijedio nakon što su agencije za sprovođenje zakona demontirale njegovu infrastrukturu u januaru ove godine.

Zlonamjerni akteri, koji stoje iz kompanije Grandoreiro, proširili su svoj obim ciljanja na preko 1.500 banaka u više od 60 zemalja širom sveta, uključujući Centralnu i Južnu Ameriku, Afriku, Evropu i regione Indo-Pacifika. Ova promjena u strategiji je vjerovatno odgovor na prethodne pokušaje brazilskih vlasti da zaustave njihove operacije.

 

Kampanja

Grandoreiro kampanja zlonamjernog softvera cilja zemlje španskog govornog područja od 2017. godine, uzrokujući gubitak od približno 120 miliona američkih dolara pre nego što su ga poremetili međunarodni organi za sprovođenje zakona u januaru 2024. godine Operacija je uključivala hapšenja, pretrese i zapljene širom Brazila, ali informacije nisu date o ulogama uhapšenih lica.

Od marta 2024. godine Grandoreiro se vratio velikim operacijama, vjerovatno iznajmljenim po modelu zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS) i sada cilja na zemlje engleskog govornog područja pored onih u kojima se govori španski. Tehnička rekonstrukcija trojanca je dodala mnoge nove karakteristike i poboljšanja, što ukazuje da su njegovi kreatori izbjegli hapšenje i da ih prethodna akcija organa za sprovođenje zakona nije zaustavila.

 

Funkcionisanje

Napadi zlonamjernog softvera počinju sa phishing porukama elektronske pošte koje upućuju primaoce da kliknu na vezu kako bi vidjeli fakturu ili izvršili plaćanje. Grandoreiro phishing kampanje su raznovrsne i posebno osmišljene za organizacije na koje cilja svaki sajber kriminalac koji iznajmljuje zlonamjerni softver. U elektronskim porukama za “pecanje” se lažno predstavljaju različiti državni organi u Meksiku, Argentini, Južnoj Africi, organizacije poreske uprave, poreske službe i savezne komisije za električnu energiju.

Jednom kliknute, ove veze preuzimaju Grandoreiro zlonamjerni softver na sistem žrtve, omogućavajući neovlašteni pristup njihovim finansijskim informacijama. Zlonamjerni softver prolazi kroz proces dešifrovanja u više koraka koji uključuje prilagođeno heksadecimalno kôdiranje, Grandoreiro algoritam koji koristi niz ključeva, AES CBC dešifrovanje sa šifrovanim ključevima i inicijalnim vektorima, i poništavanje polja za preuzimanje nizova otvorenog teksta. Korak verifikacije provjerava informacije o žrtvi u odnosu na čvrsto kôdirane vrijednosti da bi se utvrdilo da li je žrtva u izolovanom okruženju (eng. sandboxed environment) ili iz određenih zemalja.

Nakon verifikacije žrtve, Grandoreiro pravi osnovni profil žrtve za prikaz na komandnoj i kontrolnoj (C2) tabli tako što navodi javnu IP, zemlju, region, grad, ime računara, korisničko ime, informacije o verziji operativnog sistema, instalirano antivirusno rješenje i provjerava da li je Outlook klijent za elektronsku poštu instaliran. Grandoreiro je posebno opasan zbog svoje sposobnosti da koristi lokalne Outlook klijente u svrhe slanja neželjene pošte. Zlonamjerni softver pažljivo prikriva svoje tragove brišući poslate poruke iz poštanskih sandučića žrtava. Širenjem preko sandučića zaraženih žrtava putem elektronske pošte, Grandoreiro značajno doprinosi velikoj količini neželjene pošte.

 

“Da bi ostvario interakciju sa lokalnim Outlook klijentom, Grandoreiro koristi alatku Outlook Security Manager, softver koji se koristi za razvoj Outlook dodataka. Glavni razlog za ovo je taj što Outlook Object Model Guard pokreće bezbjednosna upozorenja ako otkrije pristup zaštićenim objektima.”

– IBM X-Force –

 

Nove funkcionalnosti

Najnovija varijanta bankarskog trojanca Grandoreiro pretrpjela je značajna ažuriranja, što ga je učinilo efikasnijom prijetnjom za zlonamjerne aktere. Sigurnosni istraživači su identifikovali nekoliko novih funkcija u ovoj verziji:

  1. Prerađen algoritam za dešifrovanje nizova: Algoritam šifrovanja koji Grandoreiro koristi da zaštiti svoje stringove značajno je poboljšan kombinacijom AES CBC – napredni standard šifrovanja sa režimom lančanja blokova šifre i prilagođenog dekodera, što otežava sigurnosnim istraživačima da analiziraju zlonamjerni softver,
  2. Algoritam za generisanje domena (eng. Domain Generation Algorithm – DGA): DGA koji koristi Grandoreiro je ažuriran tako da uključuje više početnih vrijednosti (eng. seeds), što razdvaja komandnu i kontrolnu komunikaciju sa zadacima operatera. Ovo otežava bezbjednosnim rješenjima koja se oslanjaju na identifikaciju poznatih C2 domena da blokiraju komunikaciju između trojanca i njegovih komandnih servera,
  3. Ciljanje Microsoft Outlook klijenta: Novi mehanizam u Grandoreiro zlonamjernom softveru sada posebno cilja na Microsoft Outlook klijente, onemogućivati bezbjednosna upozorenja i koristeći ih kao platformu za slanje phishing elektronskih poruka novim žrtvama. Ovo povećava doseg kampanje i otežava korisnicima da otkriju i spriječe ove napade,
  4. Novi mehanizam postojanosti: Grandoreiro se sada oslanja na kreiranje ključeva u sistemskim registrima za pokretanje u “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run” i u “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”. Ovo osigurava njegovu postojanost čak i nakon ponovnog pokretanja sistema,
  5. Prošireno ciljanje: Zlonamjerni softver sada cilja na bankarske aplikacije, kao i na novčanike kriptovaluta, proširujući opseg potencijalnih žrtava i tokove prihoda za operatere,
  6. Unaprijeđeni skup komandi: Mogućnosti Grandoreiro zlonamjernog softvera su proširene na daljinsko upravljanje, otpremanje/preuzimanje datoteka, praćenje korisničkog unosa (eng. keylogging) i manipulaciju internet pregledačem putem JavaScript komandi,
  7. Detaljno profilisanje žrtava: Zlonamjerni softver sada obavlja detaljno profilisanje žrtava pre nego što odluči da li će se izvršiti na uređaju ili ne. Ovo operaterima daje bolju kontrolu nad svojim obimom ciljanja,
  8. Izbjegavanje specifičnih država: Grandoreiro je dizajniran da izbjegne izvršenje u određenim zemljama, kao što su Rusija, Češka, Holandija i Poljska, kao i Windows 7 uređaja u Sjedinjenim Američkim Državama gdje nijedan antivirus nije aktivan.

 

“Ažuriranja zlonamjernog softvera, pored značajnog povećanja bankarskih aplikacija u nekoliko zemalja, ukazuju na to da Grandoreiro distributeri nastoje da sprovode kampanje i isporučuju zlonamjerni softver na globalnom nivou.”

– IBM X-Force –

 

ZAKLJUČAK

Grandoreiro je operacija zlonamjernog softvera velikih razmjera koja cilja zemlje španskog govornog područja od 2017. godine. Operacija je prekinuta u januaru 2024. godine uz hapšenja i zaplijene širom Brazila, međutim Grandoreiro kreatori vratili su se velikim operacijama od marta 2024. godine. Sada se Grandoreiro vjerovatno iznajmljuje kao uslugu drugim zlonamjernim akterima i sada ciljaja na zemlje engleskog govornog područja. Zlonamjerni softver je prošao tehničku rekonstrukciju sa novim moćnim funkcijama i poboljšanjima, što ukazuje na to da su njegovi kreatori izbjegli hapšenje.

Povratak Grandoreiro zlonamjernog softvera kao globalne prijetnje usmjerene na finansijske institucije je razlog za zabrinutost. Njegova značajna poboljšanja u sposobnostima, mehanizmima postojanosti i proširenom opsegu ciljanja čine ga sve opasnijim protivnikom. Organizacije moraju ostati na oprezu protiv ovakvih prijetnji tako što će primijetiti robusne mjere bezbjednosti i edukovati svoje zaposlene o rizicima phishing elektronskih poruka i drugih sajber napada.

 

ZAŠTITA

Kako bi se zaštitili od zlonamjernog softvera Grandoreiro, može se preduzeti nekoliko mjera:

  1. Održavati operativni sistem i antivirusni softver ažurnim sa najnovijim ispravkama i definicijama. Ovo će pomoći u sprečavanju eksploatacije poznatih ranjivosti koje Grandoreiro ili sličan zlonamjerni softver  može da iskoristi na uređaju,
  2. Biti oprezan prilikom otvaranja priloga elektronske pošte, posebno one iz nepoznatih izvora. Zlonamjerni softver kao što je Grandoreiro često se širi putem phishing poruka elektronske pošte sa zlonamjernim prilozima,
  3. Koristiti jake i jedinstvene lozinke za sve naloge da bi se spriječio neovlašteni pristup. U slučaju da je jedan od naloga bude kompromitovan, korištenje jedinstvenih lozinki će onemogućiti pristup drugim nalozima,
  4. Redovno praviti rezervnu kopiju važnih podataka na eksternom uređaju za skladištenje ili usluzi u oblaku, tako da ako se sistem zarazi, može se oporaviti iz rezervne kopije bez gubitka vrijednih informacija,
  5. Implementirati zaštitni zid i konfigurisati ga tako da dozvoljava saobraćaj samo iz pouzdanih izvora. Ovo će pomoći da se spriječi neovlašteno povezivanje sa korisničkim sistemom,
  6. Koristiti softver za zaštitu od neželjene pošte kako bi se filtrirale sumnjive elektronske poruke prije nego što stignu u prijemno sanduče,
  7. Pratiti mrežnu komunikaciju u potrazi za neuobičajenim aktivnostima, kao što su velike količine podataka koje se šalju ili primaju ili višestruki neuspjeli pokušaji prijave. Ako se primijete bilo kakve sumnjive aktivnosti, pokrenuti dodatno istraživanje i preduzeti odgovarajuće mjere ako je potrebno.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.