Bankowy trojan Grandoreiro wrócił i atakuje że zdwojoną siłą

Grandoreiro zaatakował od marca tego roku ponad 1500 banków znajdujących się w 60 krajach na wszystkich kontynentach, w tym również polskie. Są to masowe ataki phishingowe, które hakerzy inicjują w trybie MaaS (Malware-as-a-Service).

Grafika: Freerange-Public-Domain-Archives/freerangestock

Trojan został od ostatnim czasie mocno zaktualizowany, dlatego jest teraz dużo groźniejszy. Rozsyła wiadomości phishingowe, wykorzystując do tego celu zainfekowane hosty, które obsługują klientów Microsoft Outlook. Ataki rozpoczynają się standardowo od rozsyłania wiadomości e-mail. Zawierają one prośbę, aby ich odbiorcy kliknęli łącze w celu wyświetlenia faktury lub dokonania płatności.

Gdy to zrobią, pobierają plik ZIP zawierający modułu, który ładuje właściwego trojana Grandoreiro. Hakerzy zastosowali przy tym ciekawą metodę, która pozwala im ominąć oprogramowanie wykrywające złośliwe oprogramowania. Polega ona na tym, że wielkość modułu ładującego trojana jest sztucznie zawyżona do ponad 100 MB.

Zobacz również:

  • Internetowa transmisja meczu Polski z Austrią przerwana z powodu ataku DDoS
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Trojan rozpoczyna swoją aktywność od zmodyfikowania jednego w rejestrów rejestru Windows, po czym nawiązuje połączenia z serwerem C2 w celu otrzymania dalszych instrukcji. Grandoreiro pozwala cyberprzestępcom zdalnie przejąć kontrolę nad systemem, przeprowadzać operacje na plikach i włączać specjalne tryby, w tym nowy moduł, który gromadzi dane programu Microsoft Outlook i wykorzystuje konto e-mail ofiary do wysyłania wiadomości spamowych do innych komputerów.

Wykorzystując lokalnego klienta Outlook, Grandoreiro może rozprzestrzeniać się poprzez skrzynki odbiorcze zainfekowanych ofiar za pośrednictwem poczty elektronicznej, co prawdopodobnie przyczynia się do tego, że jest w stanie rozsyłać olbrzymią ilość spamu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200