În ciuda arestării unor operatori importanți la începutul anului 2024, Grandoreiro continuă să fie folosit de partenerii săi în noi campanii. Echipa Kaspersky Global Research and Analysis (GReAT) a descoperit o nouă versiune simplificată, axată pe Mexic, care vizează aproximativ 30 de bănci.
Rămânând una dintre cele mai active amenințări la nivel global și vizând utilizatorii a peste 1.700 de bănci, variantele Grandoreiro reprezintă aproximativ cinci la sută din atacurile troienilor bancari din acest an. Mexicul este una dintre cele mai vizate țări de diferite tulpini Grandoreiro, inclusiv noua versiune, înregistrând 51.000 de incidente înregistrate în acest an.
După ce a participat la o acțiune coordonată de INTERPOL, care a determinat autoritățile braziliene să aresteze infractorii din spatele unei operațiuni Grandoreiro, Kaspersky a descoperit că codul sursă al grupului a fost împărțit în versiuni fragmentate ale troianului, pentru continuarea atacurilor. Analiza recentă a identificat o versiune simplificată, specifică, axată în principal pe Mexic, care a fost folosită pentru a viza aproximativ 30 de instituții financiare. Creatorii probabil au acces la codul sursă și lansează noi campanii folosind malware-ul simplificat.
„Toate evoluțiile recente subliniază natura evolutivă a amenințării. Versiunile fragmentate și mai simple pot reprezenta o tendință care s-ar putea extinde dincolo de Mexic și în alte regiuni, inclusiv dincolo de America Latină. Cu toate acestea, credem că doar unele entități afiliate de încredere au acces la codul sursă de malware pentru a dezvolta astfel de versiuni. Grandoreiro funcționează diferit de modelul tradițional «Malware-as-a-Service» cu care suntem obișnuiți. Nu veți găsi anunțuri pe forumurile underground care vând pachetul Grandoreiro; în schimb, accesul la acesta pare a fi limitat”, explică Fabio Assolini, Head of the Latin American (GReAT) Kaspersky.
Variante multiple de Grandoreiro, inclusiv noua versiune simplificată și programul malware principal, au generat aproximativ cinci procente din totalul atacurilor cu troieni bancari detectate de Kaspersky în 2024 la nivel global, acestea fiind cele mai active amenințări. Kaspersky a analizat, de asemenea, mostrele mai noi ale Grandoreiro primar din 2024 și a observat noi tactici. Acesta înregistrează activitatea mouse-ului pentru a imita comportamentele reale ale utilizatorilor, urmărind să evite detectarea de către sistemele de securitate bazate pe învățarea automată care analizează comportamentul. Prin reluarea mișcărilor naturale ale mouse-ului, malware-ul urmărește să păcălească instrumentele antifraudă, făcându-le să vadă activitatea ca fiind legitimă.
În plus, Grandoreiro a adoptat o tehnică criptografică cunoscută sub numele de Ciphertext Stealing (CTS), pe care Kaspersky nu a văzut-o niciodată folosită în malware. În acest caz, scopul său este de a cripta șirurile de coduri rău intenționate. „Grandoreiro are o structură mare și complexă, care ar permite instrumentelor de securitate sau analiștilor să-l detecteze dacă șirurile sale nu sunt criptate. Acesta este probabil motivul pentru care au introdus această nouă tehnică – pentru a complica detectarea și analiza atacurilor lor”, a explicat Fabio Assolini.
Datele Kaspersky indică faptul că Grandoreiro este activ din 2016. În 2024, amenințarea a țintit peste 1.700 de instituții financiare și 276 de portofele cu criptomonede din 45 de țări și teritorii, adăugând în cele din urmă Asia și Africa pe lista țintelor sale, aceste incidente transformându-l într-o amenințare financiară cu adevărat globală.
Mai multe detalii pe Securelist.