СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.03.2025
#ИБ#Инфра#Облака

Угрозы от банковского трояна Grandoreiro: новые методы атаки

Угрозы от банковского трояна Grandoreiro: новые методы атаки

В последние недели внимание кибербезопасности привлек банковский троян Grandoreiro, который активно используется в масштабных фишинговых кампаниях, нацеленных на пользователей банков в Латинской Америке и Европе. Недавний анализ, проведенный компанией Forcepoint X-Labs, выявил разнообразные методы, применяемые злоумышленниками для распространения этого вредоносного ПО.

Стратегия киберпреступников

Злоумышленники используют фишинговые электронные письма, выдающие себя за сообщения от налоговых органов. Основные страны-мишени включают:

  • Мексику
  • Аргентину
  • Испанию

В письмах содержатся важные предупреждения о налоговых штрафах на испанском языке. Электронная почта отправляется с поддельных адресов, которые выглядят как адреса официальных органов. Злоумышленники используют виртуальные частные серверы (VPS) от провайдеров, таких как Contabo, чтобы скрыть свои действия.

Технические детали атак

Почти всё, что связано с атакой, направлено на максимальную скрытность и эффективность:

  • Динамические URL-адреса и обфускация кода.
  • Поддомены, которые меняются с каждой кампанией.
  • Сложные методы социальной инженерии.

Основным триггером для жертв становится кнопка «Загрузить PDF», по нажатию на которую происходит загрузка вредоносного ZIP-файла из облачных сервисов хранения, таких как Mediafire. Этот архив содержит запутанный скрипт Visual Basic и скомпилированный на Delphi исполняемый файл, маскирующийся под PDF.

Вредоносные действия и последствия

Запущенный троян подключается к серверу управления (C2), размещённому на AWS, используя нестандартные номера портов. Его действия включают:

  • Кражу учетных данных пользователей;
  • Сканирование каталогов биткоин-кошельков;
  • Сбор системной информации, такой как GUID и имя компьютера из реестра Windows.

Чтобы затруднить обнаружение, злоумышленники часто меняют поддомены в домене contaboserver.net, что становится серьёзной проблемой для систем безопасности.

Меры по защите и рекомендации

Компания Forcepoint акцентирует внимание на важных мерах безопасности, которые помогут защитить пользователей от угроз:

  • Блокировка подозрительных URL-адресов в email analytics;
  • Предотвращение перенаправления на Mediafire;
  • Блокировка файлов dropper и C2 IP-адресов.

«Учитывая характер этих атак, пользователям крайне важно сохранять бдительность в отношении неизвестных электронных писем и использовать инструменты кибербезопасности для эффективной защиты от подобных угроз», — отмечает эксперт из Forcepoint.

Адаптивность троянца Grandoreiro подчеркивает необходимость постоянного обновления и принятия упреждающих мер в рамках систем безопасности для противодействия меняющимся тактикам киберпреступников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: