Windows-троян Grandoreiro вернулся и атакует банки по всему миру

Windows-троян Grandoreiro вернулся и атакует банки по всему миру

20.05.2024
Новости Безопасность

Операторы трояна Grandoreiro возобновили атаки. Новый список целей зловреда включает приложения более 1500 банков, работающих в 60 странах, в том числе в России.

Банковский троян Grandoreiro вначале распространялся только на территории Латинской Америки, затем объявился также в некоторых европейских странах, например, Португалия и Испания. В IBM X-Force проанализировали обнаруженные образцы агрессивного банкера и заметили, что вредонос значительно усовершенствовали.

Загрузчик при запуске проверяет окружение на наличие песочниц, собирает информацию о зараженном хосте, отправляет ее на C2-сервер и ждет дальнейших инструкций. Если жертва находится в России, Чехии, Польше или использует Windows 7 на территории США, дальнейшее выполнение программы прекращается, в противном случае на машину загружается целевой банкер.

Вредонос умеет открывать удаленный доступ к системе, выполнять операции с файлами, включать особые режимы. В частности, ему придан новый модуль для сбора данных из Outlook и рассылки вредоносного спама с аккаунта жертвы.

Ксения Ахрамеева, к.т.н, ведущий инженер-аналитик компании «Газинформсервис»: «Вредоносные трояны поражают не только компьютеры физических лиц, но и часто нацелены на сотрудников крупных организаций. Цель понятна – использование их компьютеров в своих целях. Для противодействия таким атакам необходимо не пренебрегать настройкой и обеспечением информационной безопасности IT-инфраструктуры. В частности, существуют продукты, которые могут произвести безопасное разграничение прав доступа. Например, продукт Efros DefOps, на основе NAC легко справится с этой задачей. Также немаловажно ранее обнаружение аномалий в поведении устройств, для этих целей можно использовать продукты, подходящие для отражения подобных атак. Еще один продукт отечественной разработки – Ankey ASAP, за счёт поведенческой аналитики, построенной на основе машинного обучения позволяет обнаружить и своевременно принять меры по защите инфраструктуры от атак».