Estes últimos dias tem-se observado uma campanha massiva do malware Grandoreiro, um Trojan-banker que visa os grandes clientes de bancos de Espanha através de um plugin falso do navegador Chrome.
Este malware já não é recente. A campanha da malspam distribui o malware Grandoreiro, e engana as vítimas ao ponto de elas executarem os vídeos temáticos do COVID-19 que prontamente infetam os seus dispositivos.
Depois disso, o malware permite que a falsa extensão do navegador Chrome exfiltre os cookies dos homebankings que a vítima acedeu/acede, e a informação é enviada para o C2 remoto controlado pelos criminosos.
A descoberta inicial remonta ao mês de fevereiro e foi partilhada por investigadores da Eset. Eles observaram que websites falsos abusam de um vídeo temático coronavírus chamado “video-china02712.zip”, e que tinha como alvo os clientes dos bancos brasileiros serem infetados com o Trojan banker Grandoreiro em fevereiro.
Nos últimos dias, investigadores da IBM X-Force observaram uma nova vaga, onde o primeiro estágio da infecção contém uma URL que redireciona para ficheiros maliciosos fazendo-se passar por faturas mascarados com uma extensão.msi e alojados num repositório do Github.
O loader carrega o segundo estágio do Grandoreiro via uma URL hardcoded de forma a descarregar o payload para depois infectar o dispositivo.
Uma séria de imagens mostram que o trojan também solicita aos utilizadores que instalem uma suposta aplicação de segurança adicional:
O malware Grandoreiro comuinica com o C&C usando um algoritmo de comunicação, que gera a segunda parte do caminho,, mas essa ligação é estabelecida com base na data/hora local do dispositivo infetado, e que deve coincidir com a data recente da campanha.
Se essa condição for verdade, então ele liga-se e estabelece uma comunicação confiável com o C2. Isso fornece um recurso de segurança no lado do atacante.
Por outro lado, a comunicação é toda ela realizada sobre SSL.
Em detalhe, o malware cria um ficheiro compactado chamado ext.zip, do qual extrai ficheiros adicionais, colocando-os em: C:/%user%/*extension folder*/*.
Os ficheiros extraídos são versões modificadas de uma extensão legítima do navegador Google Chrome, denominada Edit This Cookie.
Na próxima iteração, o malware cria um novo atalho do navegador Chrome que contém um parâmetro “—load-extension” para carregar a nova extensão ao iniciar o navegador.
Aqui está um exemplo de um path do plugin do navegador falso:
“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –load-extension=”%userprofile%\F162FD4091BD6D9759E60C3″
Como essa extensão maliciosa, o malware consegue realizar bypass a diversos mecanismos de segurança uma vez que está a usar uma aplicação legítima do Google Chrome.
Os operadores do Grandoeiro, efetuaram alguns updatess, e chamaram ao plugin “Google Plugin” versão 1.5.0. Visualmente, ele adiciona um botão quadrado à janela do navegador em vez do botão “cookie” no plug-in original.
Usando a extensão modificada, o atacante pode exilftrar as cookies da vítima. Algumas das informações exfiltradas incluem os seguintes campos:
{“url”,“tabid”,“PASSANDO,PARAMETRO”,“cookie”,“name”,“domain”,“value”,“expired”,“FormData”,“WEBMAIL”,“LoginForm[password]”,“CHECKBOX_TROCA_SENHA”,“ccnumber”}
Os investigadores suspeitam que o malware use essa extensão para obter os cookies da vítima e fazer transações fraudulentas nos homebankings a que as vítimas têm acesso.
Indicadores de Compromisso (IOCs)
2804007ed7e315cd468e265f93f6b19e680f0f0f 666299795f7ea6fda8a8b5aaf7a8287d6e427a8a caace6841a4ca5fde5c67e676d140ade 0ec58f736218541045fac6990e182700 08710023c219f26237a9c8de5454a1de17117a2da651b4391afce8e331f31dfa 3bbd2beaa7953543e3cfb09d064db83b11034ff81255429b82e2de40d661ee29 f235cab363958022d0194fa924742be4292932af0e39e98fe8baca4157acc981 e7788de1702a9accd5bbd3d3f1d1e5507c7739ec28857dd46d16b029f0c1c809 b1e4ae121886039ea865549d0cb81f1f954056545a5aec487a538ae5f616bb52 http://rebrand(.)ly/2ksdjpp http://13.72.105(.)98:443/APfunkdrawer.iso http://13.72.105(.)98:443/964CE715CF7BB75B.zip http://13.72.105(.)98/apfunkdrawer.iso
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.