Brezilya’daki bir kolluk kuvvetleri operasyonu, güvenlikten sorumlu çok sayıda Brezilyalı operatörün tutuklanmasına yol açtı. Grandoreiro kötü amaçlı yazılım.
Brezilya Federal Polisi söz konusu São Paulo, Santa Catarina, Pará, Goiás ve Mato Grosso eyaletlerinde beş geçici tutuklama emri ve 13 arama ve el koyma emrine hizmet etti.
Bu çabaya ek yardım sağlayan Slovak siber güvenlik firması ESET, Grandoreiro’nun ağ protokolünde mağduriyet modellerini belirlemeye yardımcı olan bir tasarım kusurunu ortaya çıkardığını söyledi.
Grandoreiro, Javali, Melcoz, Casabeniero, Mekotio ve Vadokrist gibi birçok Latin Amerika bankacılık truva atından biridir ve öncelikle İspanya, Meksika, Brezilya ve Arjantin gibi ülkeleri hedef alır. 2017 yılından bu yana aktif olduğu biliniyor.
Ekim 2023’ün sonlarında Proofpoint, kötü amaçlı yazılımın güncellenmiş bir sürümünü Meksika ve İspanya’daki hedeflere dağıtan bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Bankacılık truva atı, hem keylogger’lar ve ekran görüntüleri aracılığıyla veri çalma hem de virüs bulaşmış bir kurban, tehdit aktörleri tarafından hedeflenen önceden belirlenmiş bankacılık sitelerini ziyaret ettiğinde banka oturum açma bilgilerini katmanlardan çekme yeteneğine sahiptir. Ayrıca sahte açılır pencereler görüntüleyebilir ve kurbanın ekranını engelleyebilir.
Saldırı zincirleri genellikle sahte belgeler veya kötü amaçlı URL’ler içeren, açıldığında veya tıklandığında kötü amaçlı yazılımın yayılmasına yol açan ve daha sonra makineyi manuel olarak uzaktan kontrol etmek için bir komut ve kontrol (C&C) sunucusuyla bağlantı kuran kimlik avı tuzaklarından yararlanır. .
ESET, “Grandoreiro, bir web tarayıcısı işlemine ait olanı bulmak için ön plan penceresini düzenli aralıklarla izliyor.” söz konusu.
“Böyle bir pencere bulunduğunda ve adı, bankayla ilgili dizelerden oluşan sabit kodlu bir listeden herhangi bir dizeyle eşleştiğinde, o zaman ve ancak o zaman kötü amaçlı yazılım, sonlandırılana kadar saniyede en az bir kez istek göndererek C&C sunucusuyla iletişimi başlatır.”
Kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin aynı zamanda bir alan adı oluşturma algoritması kullandıkları da bilinmektedir (DGA) yaklaşık Ekim 2020’den bu yana C&C trafiği için bir hedef alan adını dinamik olarak belirlemek ve altyapının engellenmesini, takip edilmesini veya devralınmasını zorlaştırmak için.
Bu etki alanlarının çözümlediği IP adreslerinin çoğunluğu öncelikle Amazon Web Services (AWS) ve Microsoft Azure tarafından sağlanır ve C&C IP adreslerinin ömrü 1 gün ila 425 gün arasında değişir. Ortalama olarak günde sırasıyla 13 aktif ve üç yeni C&C IP adresi vardır.
ESET ayrıca Grandoreiro’nun C&C için RealThinClient (RTC) ağ protokolünü hatalı uygulamasının, C&C sunucusuna bağlanan kurbanların sayısı hakkında bilgi almayı mümkün kıldığını söyledi; bu sayı, günde ortalama 551 benzersiz kurban olup, çoğunlukla Brezilya’ya yayılmıştır. , Meksika ve İspanya.
Daha ayrıntılı araştırmalar, C&C sunucularına her gün ortalama 114 yeni benzersiz kurbanın bağlandığını ortaya çıkardı.
ESET, “Brezilya Federal Polisi tarafından yürütülen aksaklık operasyonu, Grandoreiro operasyon hiyerarşisinde üst sıralarda yer aldığına inanılan kişileri hedef aldı” dedi.