Ένας από τους νέους τύπους malware που έχει προσελκύσει την προσοχή των ερευνητών είναι το Grandoreiro malware. Παρακάτω θα αναφερθούμε λεπτομερώς στο τι είναι, πώς λειτουργεί και πώς μπορείτε να μην πέσετε θύμα του.
Τι είναι το Grandoreiro;
Γραμμένο στη γλώσσα προγραμματισμού Delphi, το Grandoreiro είναι ένα Trojan banking overlay που έχει κερδίσει το όνομα για την ικανότητά του να κλέβει χρήματα από πελάτες online banking και δραστηριοποιείται τουλάχιστον από το 2017.
Τα απομακρυσμένα banking Trojans overlays έχουν σχεδιαστεί για να επιτρέπουν στους εισβολείς να “αναλαμβάνουν” συσκευές. Αυτό συνεπάγεται συχνά την εμφάνιση overlay εικόνων (πλήρους οθόνης) στους υπολογιστές του θύματος όταν έχουν πρόσβαση στον τραπεζικό λογαριασμό τους στο διαδίκτυο. Παρόλο που αυτός ο τύπος banking Trojan δεν έχει έχει διαφημιστεί τόσο πολύ, μπορεί να είναι αρκετά καταστροφικός, καθώς επιτρέπει στους εισβολείς να μεταφέρουν χρήματα από τον διαδικτυακό τραπεζικό λογαριασμό ενός θύματος στον εισβολέα κατά τη διάρκεια της διαδικτυακής τραπεζικής περιόδου του θύματος.
Στην περίπτωση του Grandoreiro, κάθε φορά που ένας χρήστης σε έναν μολυσμένο υπολογιστή επισκέπτεται έναν στοχευμένο τραπεζικό ιστότοπο, οι εισβολείς θα αρχίσουν να κάνουν δόλιες μεταφορές από τον λογαριασμό στον οποίο ο χρήστης είχε συνδεθεί.
Πώς λειτουργεί το Grandoreiro;
Το Grandoreiro εισέρχεται στο πρώτο στάδιο της μόλυνσης όταν ο χρήστης κάνει κλικ στο κακόβουλο URL και πραγματοποιείται λήψη του προγράμματος φόρτωσης. Το επόμενο στάδιο της μόλυνσης περιλαμβάνει ανάκτηση του Grandoreiro payload μέσω μιας διεύθυνσης URL που γράφεται στον κώδικα του loader.
Μόλις ολοκληρωθούν οι φάσεις μόλυνσης, το Grandoreiro συλλέγει τις ακόλουθες πληροφορίες από τον μολυσμένο υπολογιστή:
- Όνομα χρήστη
- Όνομα υπολογιστή
- Αριθμός bit (32 ή 64) και έκδοση λειτουργικού συστήματος
- Λίστα εγκατεστημένου AV ή antivirus
Το Grandoreiro έχει δυνατότητες κλοπής credentials σε ορισμένες εκδόσεις στο Google Chrome. Θα δημιουργήσει μια ψεύτικη επέκταση Google Chrome που ονομάζεται Edit This Cookie, φαίνεται ότι υποστηρίζει τις δυνατότητες κλοπής πληροφοριών του Grandoreiro, αρπάζοντας cookie χρηστών για κλοπή πληροφοριών χρήστη και επιτρέποντας στον εισβολέα να “οδηγήσει” την ενεργή περίοδο λειτουργίας του χρήστη. Αυτό σημαίνει ότι ο εισβολέας δεν χρειάζεται να ελέγχει τον υπολογιστή από αυτό το σημείο.
Κάθε φορά που ένας χρήστης μολυσμένου υπολογιστή επισκέπτεται έναν στοχευμένο τραπεζικό ιστότοπο, το Grandoreiro θα εισβάλει στον λογαριασμό και θα κάνει δόλιες μεταφορές σε λογαριασμούς που ελέγχονται από τους hackers. Αν και αυτό είναι το επίκεντρο της επίθεσης, το Grandoreiro έχει άλλες δυνατότητες και εργαλεία, όπως το keylogging, αυτο-ενημέρωση, προσομοίωση πληκτρολογίου και ποντικιού και ένα backdoor με εκτεταμένες δυνατότητες.
Πώς να αποτρέψετε το Grandoreiro
Το Grandοreiro malware μπορεί να αποφευχθεί με τους κλασσικούς τρόπους πρόληψης που σας έχουμε αναφέρει πολλάκις. Μην κάνετε κλικ σε βίντεο σε ύποπτους ιστότοπους. Εάν δεν γνωρίζετε ποιος είναι ο αποστολέας ενός email, μην κάνετε λήψη συνημμένων ή μην κάνετε κλικ σε συνδέσμους από άγνωστες διευθύνσεις URL. Σε περίπτωση αμφιβολίας, επικοινωνήστε με τον υποτιθέμενο αποστολέα μέσω διαφορετικού καναλιού και επιβεβαιώστε ότι είναι εκείνος.
Πολλά κοινά antivirus μπορούν να εντοπίσουν και / ή να σταματήσουν την μόλυνση του κακόβουλο λογισμικό από τον υπολογιστή σας. Παρόλο που μπορεί να συμβαίνει αυτό, η πρώτη και καλύτερη γραμμή άμυνας από κακόβουλο λογισμικό όπως το Grandoreiro είναι ένας χρήστης με επίγνωση της ασφάλειας στον κυβερνοχώρο.
