Estes últimos dias tem-se observado uma campanha massiva do malware Grandoreiro, um Trojan-banker que visa os grandes clientes de bancos de Espanha através de um plugin falso do navegador Chrome.
Este malware já não é recente. A campanha da malspam distribui o malware Grandoreiro, e engana as vítimas ao ponto de elas executarem os vídeos temáticos do COVID-19 que prontamente infetam os seus dispositivos.
Depois disso, o malware permite que a falsa extensão do navegador Chrome exfiltre os cookies dos homebankings que a vítima acedeu/acede, e a informação é enviada para o C2 remoto controlado pelos criminosos.
A descoberta inicial remonta ao mês de fevereiro e foi partilhada por investigadores da Eset. Eles observaram que websites falsos abusam de um vídeo temático coronavírus chamado “video-china02712.zip”, e que tinha como alvo os clientes dos bancos brasileiros serem infetados com o Trojan banker Grandoreiro em fevereiro.
Nos últimos dias, investigadores da IBM X-Force observaram uma nova vaga, onde o primeiro estágio da infecção contém uma URL que redireciona para ficheiros maliciosos fazendo-se passar por faturas mascarados com uma extensão.msi e alojados num repositório do Github.
O loader carrega o segundo estágio do Grandoreiro via uma URL hardcoded de forma a descarregar o payload para depois infectar o dispositivo.
Uma séria de imagens mostram que o trojan também solicita aos utilizadores que instalem uma suposta aplicação de segurança adicional:
O malware Grandoreiro comuinica com o C&C usando um algoritmo de comunicação, que gera a segunda parte do caminho,, mas essa ligação é estabelecida com base na data/hora local do dispositivo infetado, e que deve coincidir com a data recente da campanha.
Se essa condição for verdade, então ele liga-se e estabelece uma comunicação confiável com o C2. Isso fornece um recurso de segurança no lado do atacante.
Por outro lado, a comunicação é toda ela realizada sobre SSL.
Em detalhe, o malware cria um ficheiro compactado chamado ext.zip, do qual extrai ficheiros adicionais, colocando-os em: C:/%user%/*extension folder*/*.
Os ficheiros extraídos são versões modificadas de uma extensão legítima do navegador Google Chrome, denominada Edit This Cookie.
Na próxima iteração, o malware cria um novo atalho do navegador Chrome que contém um parâmetro “—load-extension” para carregar a nova extensão ao iniciar o navegador.
Aqui está um exemplo de um path do plugin do navegador falso:
“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” –load-extension=”%userprofile%\F162FD4091BD6D9759E60C3″
Como essa extensão maliciosa, o malware consegue realizar bypass a diversos mecanismos de segurança uma vez que está a usar uma aplicação legítima do Google Chrome.
Os operadores do Grandoeiro, efetuaram alguns updatess, e chamaram ao plugin “Google Plugin” versão 1.5.0. Visualmente, ele adiciona um botão quadrado à janela do navegador em vez do botão “cookie” no plug-in original.
Usando a extensão modificada, o atacante pode exilftrar as cookies da vítima. Algumas das informações exfiltradas incluem os seguintes campos:
{“url”,“tabid”,“PASSANDO,PARAMETRO”,“cookie”,“name”,“domain”,“value”,“expired”,“FormData”,“WEBMAIL”,“LoginForm[password]”,“CHECKBOX_TROCA_SENHA”,“ccnumber”}
Os investigadores suspeitam que o malware use essa extensão para obter os cookies da vítima e fazer transações fraudulentas nos homebankings a que as vítimas têm acesso.
Indicadores de Compromisso (IOCs)
2804007ed7e315cd468e265f93f6b19e680f0f0f 666299795f7ea6fda8a8b5aaf7a8287d6e427a8a caace6841a4ca5fde5c67e676d140ade 0ec58f736218541045fac6990e182700 08710023c219f26237a9c8de5454a1de17117a2da651b4391afce8e331f31dfa 3bbd2beaa7953543e3cfb09d064db83b11034ff81255429b82e2de40d661ee29 f235cab363958022d0194fa924742be4292932af0e39e98fe8baca4157acc981 e7788de1702a9accd5bbd3d3f1d1e5507c7739ec28857dd46d16b029f0c1c809 b1e4ae121886039ea865549d0cb81f1f954056545a5aec487a538ae5f616bb52 http://rebrand(.)ly/2ksdjpp http://13.72.105(.)98:443/APfunkdrawer.iso http://13.72.105(.)98:443/964CE715CF7BB75B.zip http://13.72.105(.)98/apfunkdrawer.iso