СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

Grandoreiro атакует банки через DLL Side-Loading и облака

Вредоносная кампания Grandoreiro продолжает активно нацеливаться на банковские учреждения в Европе и Латинской Америке, при этом наиболее заметная активность фиксируется в Portugal и Spain. По данным отчета, злоумышленники также расширяют свое присутствие в Mexico, используя все более сложные техники сокрытия и доставки вредоносного ПО.

Главная особенность кампании — сочетание DLL Side-Loading, фишинга и коммуникационных схем, построенных на легитимных технологиях, включая SGC WebSockets и WebRTC. Такой подход позволяет вредоносной активности сливаться с обычным сетевым трафиком и существенно осложняет обнаружение.

Как работает схема заражения

Первоначальный вектор атаки — phishing. Пользователи получают вредоносные ссылки, которые ведут на Dropbox, где размещены ZIP-файлы с вредоносным ПО. Для распространения кампании используются домены, в том числе uniaodownloadcnk.online и vmi.contaboserver.net. Оба ресурса связаны с cloud hosting и, по данным отчета, были зарегистрированы недавно именно под эту кампанию.

После загрузки и запуска компонентов злоумышленники применяют технику DLL Side-Loading. В процессе используются библиотеки, созданные с помощью Delphi 11, среди которых:

  • libwebp.dll
  • mingw10.dll
  • libffi-6.dll
  • libpng15.dll

Эти библиотеки интегрированы с файлами HTML, JavaScript и CSS, которые обеспечивают схему связи через WebSockets и WebRTC. В результате приложения могут поддерживать обмен данными в real-time, что делает вредоносный трафик похожим на стандартный трафик веб-сервисов.

Технические особенности и инфраструктура

Отчет описывает несколько вариантов поведения вредоносного ПО, показывающих, насколько гибко Grandoreiro адаптирует инфраструктуру под конкретные цели.

Первый сценарий

В одном из случаев используется протокол STUN, который помогает вредоносному ПО определить public IP address жертвы и организовать связь по модели peer-to-peer. Здесь mingwn10.dll подключается к сервисам Google Cloud, а libwebp.dll взаимодействует с Azure через MQTT. По оценке исследователей, такой механизм может также быть ориентирован на устройства IoT.

Дополнительную маскировку обеспечивает использование шума, характерного для веб-конференций. Это усложняет мониторинг и снижает вероятность того, что злонамеренная активность будет выделена среди обычного корпоративного трафика.

Второй сценарий

Во втором случае вредоносное ПО использует протокол ICE, который также предназначен для peer-to-peer-коммуникаций. Кроме того, оно взаимодействует с API Binance и сервисами Amazon через MQTT.

Особый интерес представляет содержимое этой вариации: в коде обнаружены как ссылки на португальские банки, так и отдельные китайские строки. Это может указывать на более широкий операционный охват и вероятную адаптацию под разные географические и языковые среды.

Дополнительные защитные проверки

В коде Grandoreiro также присутствуют функции, направленные на противодействие анализу и обнаружению. Среди них:

  • проверка режима kiosk mode, ограничивающего доступ пользователя к другим приложениям;
  • поиск инструментов защиты, включая утилиты из набора Sysinternals;
  • обнаружение приложений для network analysis;
  • проверка запуска в virtual environment;
  • использование WMI для запроса списка antivirus-продуктов, установленных в системе.

Отдельная VBS-кампания

Помимо техник подгрузки DLL, отчет упоминает отдельную кампанию, связанную с сильно obfuscated скриптом Visual Basic (VBS). После выполнения он устанавливает вредоносное ПО и предварительно проверяет, не находится ли система под наблюдением специалистов по безопасности.

Этот скрипт анализирует наличие средств защиты, а также определяет, работает ли он в virtual environment. Использование WMI для запроса установленных antivirus-решений дополнительно подтверждает стремление злоумышленников уклоняться от обнаружения на ранних этапах.

Выводы для организаций

Эволюция кампании Grandoreiro показывает, что финансово мотивированные злоумышленники быстро меняют тактики и активно используют легитимные сервисы для сокрытия своей активности. Это делает традиционные методы обнаружения менее эффективными и требует более глубокого, многослойного подхода к защите.

Организациям в затронутых регионах рекомендуется выстраивать защиту на основе behavioral detection и комплексного мониторинга, чтобы выявлять банковские трояны заранее — до того, как они успеют нанести ущерб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: