Grandoreiro:威胁拉丁美洲银行的幕后黑手

阅读量37758

发布时间 : 2024-02-01 10:31:58

ESET与巴西联邦警察 联合采取行动破坏 Grandoreiro 僵尸网络,该僵尸网络近期导致受害者蒙受 390 万美元的损失。

据 警方称 ,巴西圣保罗州、圣卡塔琳娜州、帕拉州、戈亚斯州和马托格罗索州执行了 5 份临时逮捕令和 13 份搜查扣押令。调查是在该团伙的受害者之一西班牙储蓄银行 (Caixa Bank) 提供信息后开始的。

在最新的 Grandoreiro 攻击中,黑客发送伪装成传票或发票的网络钓鱼电子邮件,以获取对受害者设备的访问权限。Grandoreiro 恶意软件能够锁定受害者的屏幕、记录击键、模拟鼠标和键盘操作、广播受害者的屏幕以及显示虚假弹出窗口。

ESET 提供有关命令和控制 ( C2 ) 服务器 的域名和 IP 地址的技术分析、统计数据和信息。由于 Grandoreiro 网络协议中已发现的缺陷,ESET 研究人员能够获取有关攻击受害者的信息。

ESET 系统已处理数以万计的 Grandoreiro 样本。自 2020 年 10 月起使用的域生成算法 (DGA) 每天创建一个主域和多个备份域。Grandoreiro 运营商使用Azure和AWS云服务来托管其网络基础设施。ESET 研究人员提供的数据使他们能够识别用于设置服务器的帐户,最终导致运行服务器的人员被捕。

Grandoreiro 自 2017 年以来一直存在,针对拉丁美洲的银行系统,包括巴西、墨西哥,以及自 2019 年以来的西班牙。2023年以来,攻击重点转移到墨西哥和阿根廷。

2022 年 2 月,Grandoreiro 运营商为其程序添加了版本 ID。例如,从 2022 年 2 月到 2022 年 6 月,平均每 4 天就会出现一个新版本。研究表明,Grandoreiro 并非在MaaS(恶意软件即服务)恶意软件即服务模式下运行,而是由一个或多个密切合作的团体运行。

ESET 研究人员发现 Grandoreiro 的 C2 服务器正在泄露受害者的信息。从服务器获得的数据显示,大多数受害者使用Windows操作系统,其中巴西、墨西哥和西班牙的攻击数量最多。

通过对 Grandoreiro 活动的长期监控和分析,ESET 能够为阻止该活动做出重大贡献。该公司继续密切监视针对拉丁美洲的其他银行木马的活动,以及执法行动后 Grandoreiro 活动可能恢复的情况。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66