Анализ, проведенный ESET, показал, что банковский троян Grandoreiro использует кризис COVID-19 для атаки на пользователей. Компания по безопасности в Интернете обнаружила, что троян скрывается в видеозаписях на фальшивых веб-сайтах, которые обещают предоставить важную информацию о вирусе. Попытка воспроизвести видео приводит к загрузке payload на устройство посетителей.
Grandoreiro работает с 2016 года и ориентирован на пользователей в Бразилии, Мексике, Испании и Перу. Ранее он почти исключительно распространялся через почтовый спам, в котором авторы используют поддельное обновление Java или Flash. Через эти фальшивые всплывающие окна пользователям предлагается передавать конфиденциальную информацию.
Теперь авторы Grandoreiro переключают свою тактику на пользователей с помощью мошенничества с COVID-19 на поддельных сайтах. Это совпадает с общим сдвигом в сторону кибератак, связанных с вирусом, который играет на страхах людей по мере развития кризиса в последние недели.
Когда машина поражена, Grandoreiro может собирать информацию о ней, используя различные методы. К ним относятся управление окнами, самообновление, захват нажатий клавиш, имитация действий мыши и клавиатуры, навигация браузеров по выбранным URL-адресам, выход из системы и перезагрузка компьютеров, а также блокировка доступа к веб-сайтам. В некоторых версиях он также может похищать учетные данные, хранящиеся в Google Chrome, и данные, хранящиеся в браузерах Microsoft Outlook.
Для латиноамериканского банковского трояна Grandoreiro использует удивительно большое количество уловок, чтобы избежать обнаружения и эмуляции. Это включает в себя множество методов обнаружения или даже отключения программного обеспечения для защиты банков
Они, похоже, очень быстро развивают банковский троян. Почти каждая новая версия, которую мы видим, вносит некоторые изменения. Мы также подозреваем, что они разрабатывают как минимум два варианта одновременно. Интересно, что с технической точки зрения они также используют очень специфическое применение метода двоичного заполнения, которое затрудняет избавление от заполнения, сохраняя при этом действительный файл.
Будь осторожен в сети и не только, поделись этой статьёй с близкими, начни движение против интернет-мошенников
Все платные курсы инфо-блогеров публикуются в моих статьях бесплатно!
