Найти в Дзене
CISOCLUB
10,9 тыс подписчиков

Новая угроза: вредоносное ПО Grandoreiro атакует Латинскую Америку

1
2 мин
Оглавление

В марте 2025 года была зафиксирована активная кампания, связанная с бразильским вредоносным ПО Grandoreiro. Основными целями этой кампании стали Испания и страны Латинской Америки. Grandoreiro, действующая с 2017 года, эволюционировала от ориентированного на Бразилию инструмента коса глобальной угрозе, нацеленной на кражу конфиденциальной информации, включая банковские реквизиты и личные данные пользователей.

Методы распространения и уклонения от обнаружения

Основным способом распространения Grandoreiro остаются фишинговые электронные письма, содержащие:

  • вредоносные вложения;
  • ссылки на поддельные сайты.

При этом вредоносная программа активно использует сложные тактики уклонения. К числу этих тактик относятся:

  • стороннее шифрование с использованием запатентованного алгоритма;
  • меры против «песочницы», усложняющие анализ вредоносного ПО.

Grandoreiro демонстрирует возможность динамической настройки своей инфраструктуры управления (C2) в зависимости от географического положения жертвы, что значительно усложняет работу по ее отслеживанию и устранению.

Техника взаимодействия и заражения

Как и многие другие вредоносные программы, Grandoreiro полагается на взаимодействие пользователя с фишинговым материалом. Зачастую, когда пользователь открывает вредоносное вложение, ему предлагается нажать кнопку «Открыть», чтобы увидеть то, что предположительно является документом PDF. Это взаимодействие способствует уменьшению вероятности автоматического анализа вредоносного ПО в безопасных условиях.

Стратегия шифрования и скрытности

После активации Grandoreiro:

  • генерирует мьютекс, привязанный к дате выполнения;
  • проверяет геолокацию устройства через запрос к ip-api.com;
  • передает данные своему серверу C2 через полученный IP-адрес от dns.google.

Чтобы затруднить анализ, Grandoreiro шифрует все строки с помощью специального алгоритма, который расшифровывается только в проверенных условиях. Это включает в себя:

  • сообщения о взаимодействии с пользователем;
  • информацию о доменах и процессах, необходимых для анализа.

Важно отметить, что методы расшифровки строк могут изменяться в ходе новых кампаний, что требует постоянного мониторинга новых индикаторов компрометации (IOCs)

Заключение

Понимание этих механизмов и методов уклонения является критически важным для исследователей в области кибербезопасности. Это знание помогает выявлять IOCs, даже когда традиционные методы обнаружения не работают должным образом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза: вредоносное ПО Grandoreiro атакует Латинскую Америку".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.