Grandoreiro,一种银行木马,已经回归并展开了一项大规模的活动,目前已遍及超过60个国家,针对约1500家银行的客户帐户。
这场恶意程式的运作在2024年1月遭到巴西和西班牙当局、国际刑警、网路安全公司ESET及CaixaBank的联合行动打击,造成1.2亿美元的损失,主要针对西班牙语国家。尽管在巴西进行了多次逮捕和查扣,Grandoreiro的幕后主谋似乎仍然逃脱了抓捕,这从近期这种恶意程式的精密更新可见一斑。
Grandoreiro在各国针对银行应用程序的攻击 (资料来源:IBM)
针对组织定制的钓鱼活动
根据IBM X-Force团队的一份,Grandoreiro自2024年3月以来重新展开广泛操作。该恶意程式可能透过恶意程式即服务(MaaS)模式租给网路罪犯,并同时开始针对英语国家。
这些钓鱼电子邮件模仿来自墨西哥、阿根廷和南非的政府机构的通讯,特别是税务和收益机构以及联邦电力公司。它们设计精良,看起来非常真实,带有官方标志,且用收件人的母语撰写。
针对阿根廷人的钓鱼电子邮件 (资料来源:IBM)
这些电子邮件催促收件人点击连结,据说会引导至重要文件,如发票或税务记录。然而,点击这些连结会启动一个含有诈骗性的PDF图像的下载,该PDF下载后会有一个ZIP文件,里面包含恶意的Grandoreiro加载程序。
更新版Grandoreiro木马的先进能力
最新版本的Grandoreiro显示出了显著的技术提升,使其比以前更具威胁性。值得注意的升级包括:
精炼的字串解密演算法,将AES CBC与自定义解码器结合。
改进的域名生成演算法(DGA),现在包含多个种子,帮助将命令和控制的通信与操作任务分开。
一种针对Microsoft Outlook用户的创新方法,能够禁用安全警报并使用被妥协的帐户发送钓鱼电子邮件。
新具的持续性机制,通过创建注册表运行键来确保木马在系统重启后自动加载。
Grandoreiro现在不仅针对银行应用程序,还包括加密货币钱包。该木马的功能还扩展到远程控制受感染设备、文件上传和下载、键盘记录以及通过JavaScript命令操纵浏览器会话。
此外,它还被编程进行详细的潜在受害者分析,并根据设备的地理位置和具体系统特征决定是否执行。
IBM的分析师表示,Grandoreiro的最新版本在俄罗斯、捷克、荷兰和波兰等国家以及未安装主动防毒软件的美国Windows 7等过时系统上避免执行。
最后的话
随着Grandoreiro的触角进一步扩展,尤其是进入英语国家,个人和组织的警惕性和主动安全措施的重要性从未如此明显。
相关阅读 :
Anas Hasan
2024年5月20日
5个月前
Anas Hassan是一位科技迷和网路安全爱好者,在数位转型行业拥有丰富的经验。当Anas不在写博客时,他会观看足球赛。
