El malware Grandoreiro ataca a más de 1.500 bancos en más de 60 países


Un nuevo informe de IBM X-Force revela el panorama cambiante del malware Grandoreiro. Actualmente, el troyano bancario puede atacar a más de 1.500 bancos en todo el mundo en más de 60 países y se está actualizando con nuevas funciones.

La orientación de Grandoreiro también se ha ampliado, desde inicialmente centrarse únicamente en países de habla hispana a países de Europa, Asia y África en campañas recientes. Además, el malware actualmente envía correos electrónicos de phishing desde el cliente Microsoft Outlook local de la víctima directamente a la dirección de correo electrónico del destinatario en el sistema local.

Qué es Grandoreiro?

Según Interpol, el troyano bancario Grandoreiro ha sido una gran amenaza en los países de habla hispana desde 2017. Las características principales de este malware permiten a los ciberdelincuentes controlar dispositivos en computadoras infectadas, habilitar el registro de teclas, manipular ventanas y procesos, abrir navegadores, etc., además de la funcionalidad del troyano bancario. Puede ejecutar JavaScript, cargar o descargar archivos y enviar correos electrónicos.

El análisis de varias campañas de ataque revela que muchos operadores están involucrados en los ataques de Grandreiro. La empresa de ciberseguridad Kaspersky Lab dijo en julio de 2020: “Si bien está claro que esta campaña utiliza un modelo de negocio MaaS (malware como servicio), todavía no podemos vincular este malware a un grupo de cibercrimen específico”. dicho.

Ver también: Estudio de Kaspersky: Los dispositivos infectados con malware de robo de datos se han multiplicado por siete desde 2020

En 2021 se produjo una serie de arrestos de sospechosos de delitos cibernéticos relacionados con Grandreiro, y la policía española acusó a 16 personas de lavar fondos robados a través de dos troyanos bancarios, incluido Grandreiro. Más recientemente, las autoridades brasileñas arrestaron a cinco programadores y administradores detrás del malware bancario. Se sospecha que han defraudado a las víctimas por más de 3,5 millones de euros.

Pero una nueva investigación del equipo X-Force de IBM dice que el malware desarrollado en Brasil todavía está activo y ha comenzado a expandir su lista de objetivos a otros países, incluidos Japón, los Países Bajos, Italia y Sudáfrica.

¿Cómo funciona la campaña de Grandoreiro?

Cada campaña de Grandoreiro comienza con un correo electrónico de phishing.

Desde marzo de 2024 se han producido múltiples ataques de phishing por parte de Grandoreiro, haciéndose pasar por organizaciones mexicanas como el Servicio de Administración Tributaria de México, la Comisión Federal de Electricidad de México y la Agencia Tributaria Argentina.

Desde marzo de 2024, los correos electrónicos utilizan diversas técnicas de ingeniería social para atraer a los usuarios a hacer clic en los enlaces. Por ejemplo, un aviso final para pagar una deuda, un recordatorio de que puede acceder a su estado de cuenta en formato PDF o XML, un recordatorio para leer el detalle del aviso de cumplimiento, etc.

Ejemplo de correo electrónico de phishing con enlace malicioso. Imagen: IBM X-Force

En estas campañas de phishing, solo los usuarios de países específicos (México, Chile, España, Costa Rica, Perú, Argentina) son redirigidos a la carga útil después de hacer clic en el enlace proporcionado en el correo electrónico.

Tras el reciente arresto de los operadores de Grandreiro, los investigadores utilizaron correos electrónicos escritos en inglés para enviar mensajes a países fuera de los habituales de habla hispana (como Japón, los Países Bajos, Italia y Sudáfrica). rápido aumento de los ataques dirigidos a .

Una muestra de un correo electrónico de phishing dirigido a usuarios de Sudáfrica. Imagen: IBM X-Force

Cobertura de seguridad de lectura obligada

Entonces se produce una cadena de infección.

Cuando un usuario hace clic en un enlace malicioso en un correo electrónico de phishing, se inicia un cargador personalizado y se muestra una captura falsa de Adobe PDF Reader. Se debe hacer clic para continuar la ejecución. Es probable que esto diferencie entre usuarios reales y sistemas automatizados como los sandboxes.

Luego, el cargador recopila los datos de la víctima y los envía al servidor de comando y control mediante cifrado basado en algoritmos AES y base64. Los datos enviados al C2 consisten en el nombre de la computadora y el nombre de usuario, la versión del sistema operativo, el nombre del antivirus, la dirección IP pública de la víctima y una lista de procesos en ejecución. Además, el cargador comprueba la presencia de clientes Microsoft Outlook, carteras de criptomonedas y productos especiales de seguridad bancaria como IBM Trusteer y Topaz OFD.

El cargador se puede configurar para prohibir víctimas de países específicos según su dirección IP. Una de las muestras de malware descubiertas por IBM X-Force se detenía si el usuario se encontraba en Rusia, la República Checa, Polonia o los Países Bajos.

Una vez que se cumplen todas las condiciones, el troyano bancario Grandoreiro se descarga, se descifra utilizando un algoritmo basado en RC4 y se ejecuta.

Dirigido a más de 1.500 bancos en todo el mundo

Según IBM X-Force, la lista de aplicaciones específicas de Grandoreiro se ha ampliado a más de 1.500 bancos en todo el mundo, y las aplicaciones bancarias también están vinculadas a regiones. Por ejemplo, si el país de la víctima se identifica como Bélgica, el malware buscará todas las aplicaciones bancarias específicas relacionadas con la región europea.

Además, el malware utiliza 266 cadenas únicas para identificar carteras de criptomonedas.

Aplicaciones bancarias específicas de cada país a las que se dirige Grandoreiro. Imagen: IBM X-Force

Actualizaciones recientes de Grandoreiro

Nuevo algoritmo DGA

Los investigadores Golo Mühr y Melissa Frydrych examinaron más de cerca el malware y descubrieron que el malware, que tradicionalmente utilizaba algoritmos de generación de dominios para encontrar referencias de servidores C2, incluía un DGA mejorado.

El nuevo algoritmo introduce múltiples semillas en el DGA, que se utilizan para calcular un dominio diferente para cada modo o función de un troyano bancario, y se utiliza para calcular múltiples. Permite la separación de tareas C2 entre operadores”, dijeron los investigadores.

El nuevo algoritmo DGA de Grandreiro. Imagen: IBM X-Force

En una muestra analizada, se utilizaron 12 dominios como dominios C2 en un día determinado, 4 de los cuales estaban activos ese día y conectados a direcciones IP basadas en Brasil.

Grandoreiro muestra el dominio del servidor C2 para el 17 de abril de 2024. Imagen: IBM X-Force

Mal uso de Microsoft Outlook

La última versión de Grandoreiro explota el software local Microsoft Outlook si está disponible en la computadora infectada.

El malware funciona con la herramienta Outlook Security Manager, una herramienta diseñada para desarrollar complementos de Outlook. Al utilizar esta herramienta, el malware desactiva las alertas dentro de Outlook antes de recopilar todas las direcciones de correo electrónico del remitente en el buzón de la víctima, filtra las direcciones de correo electrónico y las elimina de la lista de bloqueo del malware. Puede evitar recopilar direcciones innecesarias, incluidas “noreply”, “feedback”, “boletín”, etc.

Además, el malware escanea de forma recursiva algunas de las carpetas de la víctima en busca de más direcciones de correo electrónico y archivos con extensiones específicas como .csv, .txt, .xls, .doc, etc. Masu.

Luego, el malware comienza a enviar spam basándose en la plantilla de phishing recibida del servidor C2 y elimina todos los correos electrónicos enviados del buzón de la víctima.

Dependiendo de la variante de malware, el malware solo se imprime electrónicamente si la última entrada a la máquina fue hace al menos 5 minutos, para evitar que los usuarios lo detecten y puedan notar un comportamiento sospechoso en la computadora al comenzar a enviar correos electrónicos.

Cómo protegerse de las amenazas del malware Grandoreiro

Realice su análisis de red con cuidado. En particular, múltiples solicitudes consecutivas a ip-api.com/json pueden ser un signo de una infección de Grandoreiro y deberían desencadenar una alerta y una investigación. Monitorear claves de ejecución en el registro de Windows. Las adiciones más allá de las instalaciones de software normales deben investigarse de cerca para detectar actividad de malware. Bloquee dominios DGA precalculados a través de DNS. Implemente software de seguridad de terminales en todas las computadoras para detectar malware. Eduque a los usuarios y al personal para detectar posibles correos electrónicos de phishing e intentos de fraude. Mantenga todo el hardware y software actualizado y parcheado para evitar infecciones a través de vulnerabilidades comunes.

Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.



Fuente: https://www.techrepublic.com/article/ibm-xforce-grandoreiro-banking-trojan-malware/