Hackers atacam agora bancos de Espanha via malware Grandoreiro (Trojan banker).

Estes últimos dias tem-se observado uma campanha massiva do malware Grandoreiro, um Trojan-banker que visa os grandes clientes de bancos de Espanha através de um plugin falso do navegador Chrome.

Este malware já não é recente. A campanha da malspam distribui o malware Grandoreiro, e engana as vítimas ao ponto de elas executarem os vídeos temáticos do COVID-19 que prontamente infetam os seus dispositivos.

Depois disso, o malware permite que a falsa extensão do navegador Chrome exfiltre os cookies dos homebankings que a vítima acedeu/acede, e a informação é enviada para o C2 remoto controlado pelos criminosos.

A descoberta inicial remonta ao mês de fevereiro e foi partilhada por investigadores da Eset. Eles observaram que websites falsos abusam de um vídeo temático coronavírus chamado “video-china02712.zip”, e que tinha como alvo os clientes dos bancos brasileiros serem infetados com o Trojan banker Grandoreiro em fevereiro.

 

Nos últimos dias, investigadores da IBM X-Force observaram  uma nova vaga, onde o primeiro estágio da infecção contém uma URL que redireciona para ficheiros maliciosos fazendo-se passar por faturas mascarados com uma extensão.msi e alojados num repositório do Github.

O loader carrega o segundo estágio do Grandoreiro via uma URL hardcoded de forma a descarregar o payload para depois infectar o dispositivo.

Uma séria de imagens mostram que o trojan também solicita aos utilizadores que instalem uma suposta aplicação de segurança adicional:

IBM Trusteer

Grandoreiro malware analysis

 

O malware Grandoreiro comuinica com o C&C usando um algoritmo de comunicação, que gera a segunda parte do caminho,, mas essa ligação é estabelecida com base na data/hora local do dispositivo infetado, e que deve coincidir com a data recente da campanha.

Se essa condição for verdade, então ele liga-se e estabelece uma comunicação confiável com o C2. Isso fornece um recurso de segurança no lado do atacante.

Por outro lado, a comunicação é toda ela realizada sobre SSL.

Grandoreiro malware analysis

 

Em detalhe, o malware cria um ficheiro compactado chamado ext.zip, do qual extrai ficheiros adicionais, colocando-os em: C:/%user%/*extension folder*/*.

Os ficheiros extraídos são versões modificadas de uma extensão legítima do navegador Google Chrome, denominada  Edit This Cookie.

Na próxima iteração, o malware cria um novo atalho do navegador Chrome  que contém um parâmetro “—load-extension” para carregar a nova extensão ao iniciar o navegador.

IBM Trusteer

 

Aqui está um exemplo de um path do plugin do navegador falso:

“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –load-extension=”%userprofile%\F162FD4091BD6D9759E60C3″

 

Como essa extensão maliciosa, o malware consegue realizar bypass a diversos mecanismos de segurança uma vez que está a usar uma aplicação legítima do Google Chrome.

Os operadores do Grandoeiro, efetuaram alguns updatess, e chamaram ao plugin “Google Plugin” versão 1.5.0. Visualmente, ele adiciona um botão quadrado à janela do navegador em vez do botão “cookie” no plug-in original.

IBM Trusteer

 

Usando a extensão modificada, o atacante pode exilftrar as cookies da vítima. Algumas das informações exfiltradas incluem os seguintes campos:

{“url”,“tabid”,“PASSANDO,PARAMETRO”,“cookie”,“name”,“domain”,“value”,“expired”,“FormData”,“WEBMAIL”,“LoginForm[password]”,“CHECKBOX_TROCA_SENHA”,“ccnumber”}

 

Os investigadores suspeitam que o malware use essa extensão para obter os cookies da vítima e fazer transações fraudulentas nos homebankings a que as vítimas têm acesso.

 

Indicadores de Compromisso (IOCs)

2804007ed7e315cd468e265f93f6b19e680f0f0f
666299795f7ea6fda8a8b5aaf7a8287d6e427a8a
caace6841a4ca5fde5c67e676d140ade
0ec58f736218541045fac6990e182700
08710023c219f26237a9c8de5454a1de17117a2da651b4391afce8e331f31dfa
3bbd2beaa7953543e3cfb09d064db83b11034ff81255429b82e2de40d661ee29
f235cab363958022d0194fa924742be4292932af0e39e98fe8baca4157acc981
e7788de1702a9accd5bbd3d3f1d1e5507c7739ec28857dd46d16b029f0c1c809
b1e4ae121886039ea865549d0cb81f1f954056545a5aec487a538ae5f616bb52
http://rebrand(.)ly/2ksdjpp
http://13.72.105(.)98:443/APfunkdrawer.iso
http://13.72.105(.)98:443/964CE715CF7BB75B.zip
http://13.72.105(.)98/apfunkdrawer.iso

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *