Roman GłogulskiA brazil szövetségi rendőrség és a kiberbiztonsági kutatók sikeresen leállítottak egy Grandoreiro nevű banki malware működését, amely 2017 óta részt vesz pénzügyi csalásokban spanyol nyelvű országokban.
Az akciót az ESET, az Interpol, a spanyol nemzeti rendőrség és a Caixa Bank támogatásával hajtották végre, amelyek kulcsfontosságú információkkal szolgáltak a malware infrastruktúráját irányító személyek azonosításához és elfogásához.
A brazil szövetségi rendőrség bejelentette, hogy öt személyt tartóztattak le és tizenhárom házkutatást és átvizsgálást hajtottak végre Sao Paulóban, Santa Catarinában, Parában, Goiásban és Mato Grossóban.
„A brazil rendőrség 2021. január 30-án, keddén indította el az Operation Grandoreiro-t annak érdekében, hogy megküzdjön egy csoport bűnös tevékenységével, amely banki csalásokat követett el ezzel a malware-vel Brazília határain kívül”, áll a fordított sajtóközleményben.
„Az becslés szerint annak a bűnözői struktúrának, amely ezeket a csalásokat elköveti, 2019 óta legalább 3,6 millió eurót mozgatott át.”
A Caixa Bank adatai szerint ennek a malware-nek az üzemeltetői olyan csalásokhoz köthetők, amelyek körülbelül 120 millió dollár veszteséget okoztak.
Grandoreiro Malware
A Grandoreiro egy Windows banki trójai, amelyet az ESET dokumentált először 2020-ban, és azóta komoly fenyegetést jelent spanyol nyelvű emberek számára.
A malware aktívan figyeli a felhasználó képernyőjét, keresve az internetes böngésző folyamatokat, amelyek a banki tevékenységekhez kapcsolódnak. Ha találat történik, kapcsolatot létesít a parancs- és ellenőrző szerverekkel.
A támadóknak manuálisan kell működniük a malware-rel, hogy elkövessék a pénzügyi lopásokat, például weboldalak beinjektálását. Ez azt jelenti, hogy célzott és interaktív megközelítést alkalmaz.
A malware hamis felugró ablakokat tud megjeleníteni, amelyeket valós szolgáltatásoknak álcázva ezáltal lopja el a bejelentkezési adatainkat. Emellett utánozhatja az egér- és billentyűzetmozgásokat, képernyőfelvételeket készíthet, és letakarhatja a képernyő látványát, valamint minden leütött billentyűt rögzíthet.
A Grandoreiro készítői rendszeresen új verziókat adnak ki, új funkciókat és képességeket adnak hozzá a malware-hez, ami azt mutatja, hogy folyamatosan működik az üzemeltetői tevékenység.
Egy 2022 augusztusában megjelent Zscaler jelentés említést tett egy Grandoreiro kampányról, amely a spanyol és mexikói vállalatok magas rangú munkavállalóit célozta.
Az operation követése és az áldozatok
A Grandoreiro szerverek felderítésére az ESET követési és elemzési technikákat alkalmazott, annak ellenére is, hogy a malware egy domain generációs algoritmust (DGA) használt. A kutatók elemezték ezt az algoritmust, amely minden nap generál egy új domaint, és felfedezték, hogy a jelenlegi dátumot és előre beprogramozott konfigurációkat használja, ami lehetővé tette számukra a jövőbeni domainek előrejelzését.
„Az ESET összesen 105 különböző DGA azonosítót nyert ki a Grandoreiro-ból az általunk rendelkezésre álló minták alapján”, magyarázta az ESET.
„Legalább 79 konfiguráció generálta olyan domaineket, amelyek egy aktív IP címre mutató C&C szerverhez vezettek a követésünk során.”
A kiberbiztonsági cég megfigyelte, hogy különböző DGA konfigurációk által generált domainek ugyanarra a IP címre mutattak, ami arra utal, hogy sok áldozat kapcsolódott ugyanahhoz az C2 szerverhez.
Ezzel az információval a Grandoreiro infrastruktúrája megfelelően osztályítható volt, és az ESET adatokat gyűjtött az áldozatok számáról és a művelet nagyságrendjéről.
Az áldozatok többsége Spanyolországból, Mexikóból és Brazíliából származik, és leggyakrabban a Windows 10, 7, 8 és 11 oprendszerűeket használják.
Grandoreiro áldozatai operációs rendszer szerint
Az ESET adatai szerint naponta 551 egyedi kapcsolat volt a Grandoreiro infrastruktúrával, amelyek közül 114 „új napi áldozat” volt.
Ha egy évre kiterjesztve, a Grandoreiro potenciálisan több mint 41 000 új számítógépet fertőzhetett meg.
Jelenleg nem világos, hogy az őrizetbe vett személyek milyen szerepet játszottak a műveletben, vagy fennáll-e annak a veszélye, hogy a Grandoreiro új infrastruktúrával előbukkan a jövőben.
Azonban ez a legutóbbi akció megszakította a malware tevékenységét és ideiglenesen megállította az elterjedését.
Gyakran Ismételt Kérdések:
1. Mi az az Operation Grandoreiro?
Az Operation Grandoreiro egy olyan akció, amelyet a brazil szövetségi rendőrség és egy kiberbiztonsági kutatócsoport hajtott végre a Grandoreiro nevű banki malware leállítása érdekében, amely 2017 óta részt vesz pénzügyi csalásokban spanyol nyelvű országokban.
2. Mely intézmények vettek részt ebben az akcióban?
Az Operation Grandoreiro a brazil szövetségi rendőrséget, az ESET-et, az Interpolt, a spanyol nemzeti rendőrséget és a Caixa Bankot foglalta magában.
3. Milyen eredményei voltak az Operation Grandoreirónak?
Az Operation Grandoreiro részeként öt személyt tartóztattak le, és tizenhárom házkutatást és átvizsgálást hajtottak végre Brazília különböző régióiban.
4. Mi az a Grandoreiro?
A Grandoreiro egy banki trójai Windows rendszerekhez, amely 2017-ben jelent meg. Ez egy jelentős fenyegetést jelent spanyol nyelvű emberek számára. Ez a malware olyan internetes böngésző folyamatokat keres, amelyek a banki tevékenységekhez kapcsolódnak, és megpróbálja ellopni a bejelentkezési adatokat.
5.Hogyan működik a Grandoreiro készítő?
A Grandoreiro készítői rendszeresen új verziókat adnak ki, új funkciókat és képességeket adnak hozzá a malware-hez. Ez a malware hamis felugró ablakokat képes megjeleníteni, egér- és billentyűzetmozgásokat utánozni, és rögzíteni a leütött billentyűket.
6. Hogyan követte az ESET a Grandoreiro működését?
A követési és elemzési technikákat használva az ESET képes volt megtalálni a Grandoreiro szervereket, annak ellenére, hogy a malware egy domain generációs algoritmust használ. A kutatók elemezték ezt az algoritmust, és képesek voltak a jövőbeli domainek előrejelzésére, lehetővé téve ezzel a művelet követését és az új áldozatok azonosítását.
7. Ki voltak a Grandoreiro áldozatai?
A Grandoreiro legtöbb áldozata Spanyolországból, Mexikóból és Brazíliából származik. A leggyakrabban használt operációs rendszerek a Windows 10, 7, 8 és 11.
8. Teljesen leállította az Operation Grandoreiro ennek a malware-nek a tevékenységét?
Jelenleg nem világos, hogy az őrizetbe vett személyek milyen szerepet játszottak a műveletben, vagy fennáll-e annak a veszélye, hogy a Grandoreiro új infrastruktúrával előbukkan majd a jövőben. Azonban az operáció megszakította ezt a malware tevékenységét, és ideiglenesen megállította az elterjedését.
Kapcsolódó linkek:
– ESET
– Interpol
– Caixa Bank
The source of the article is from the blog crasel.tk
