Организации в испаноговорящите страни Мексико и Испания са на прицела на нова хакерска акция, в която се използва като троянски кон приложението „Grandoreiro“. Най-често са засегнати компании в сферата на банковото дело.
При тази акция хакерите се представят за държавни служители от Главната прокуратура на Мексико Сити и от Министерството на правосъдието. Под формата на фишинг имейли те примамват жертвите да изтеглят „Grandoreiro“. Кампанията е активна най-малко от 2016 г. и е насочена конкретно към потребители в Латинска Америка, съобщават от организацията Zscaler.
Продължаващите атаки, които отново бяха регистрирани през юни 2022 г., бяха насочени към секторите на автомобилостроенето, гражданското и промишленото строителство, логистиката и машиностроенето, както и индустрии за производство на химикали в Испания.
При него се използват множество вериги за заразяване, при които се използват фишинг имейли, написани на испански, за да подмамят потенциалните жертви да кликнат върху вградена връзка, която извлича ZIP архив, съдържащ програма за зареждане, маскирана като PDF документ, за да се задейства изпълнението.
За да активират инфекциите и за да са по-атрактивни, фишинг съобщенията включват на видно място теми, свързани с възстановяване на плащания, уведомления за съдебни спорове, анулиране на ипотечни заеми и ваучери за депозити.
„Този товарач е отговорен за изтеглянето, извличането и изпълнението на крайния полезен товар от 400 MB „Grandoreiro“ от отдалечен HFS сървър, който допълнително комуникира с командно-контролния сървър, използвайки трафик, идентичен с LatentBot“, обяснява изследователят на Zscaler – Нирадж Шивтаркар.
"И това не е всичко", продължава киберекспертът. Товарачът също така е проектиран да събира информация, да извлича списък с инсталирани антивирусни програми, портфейли за криптовалута, приложения за банкиране и поща и да ексфилтрира информацията към отдалечен сървър.
Наблюдаван в продължение на най-малко шест години, „Grandoreiro“ е своеобразна задна вратичка с набор от функционалности, които му позволяват да записва натискания на клавиши, да изпълнява произволни команди, да имитира движения на мишката и клавиатурата, да ограничава достъпа до конкретни уебсайтове, да се актуализира автоматично и да осигурява устойчивостта си чрез промяна в системния регистър на Windows.
Нещо повече. Злонамереният софтуер е написан на Delphi и използва техники като двоично запълване за увеличаване на двоичния размер с 200MB, съдържа CAPTCHA sandbox evasion и C2 комуникация, използваща поддомейни, генерирани чрез алгоритъм за създаване на домейни (DGA).
Системата CAPTCHA изисква ръчно завършване на теста „предизвикателство-отговор”, за да се изпълни зловреден софтуер в компрометираната машина. Това означава, че имплантът не се задейства, освен ако и докато CAPTCHA не бъде активирана от избраната жертва.
Голямото предизвикателство е, че „Grandoreiro“ непрекъснато се развива и усъвършенства като злонамерен софтуер с нови характеристики за антианализ, предоставяйки на хакерите пълни възможности за отдалечен достъп и представлявайки значителна заплаха за служителите и техните организации.
Това ново развитие се случва малко повече от година, след като испанските правоприлагащи органи задържаха 16 лица, по подозрения, че са част от престъпна мрежа, свързана с операциите чрез „Mekotio“ и „Grandoreiro“ през юли 2021 година.
