ΑρχικήsecurityTedrade banking trojans στοχεύουν τραπεζικούς πελάτες παγκοσμίως!

Tedrade banking trojans στοχεύουν τραπεζικούς πελάτες παγκοσμίως!

Οι ερευνητές της Kaspersky ανέλυσαν τέσσερις διαφορετικές οικογένειες βραζιλιάνικων banking trojans, με την ονομασία Tedrade, που έχουν στοχεύσει τράπεζες στην Ευρώπη, τη Βραζιλία και τη Λατινική Αμερική. Οι ερευνητές θεωρούν ότι αυτές οι τέσσερις οικογένειες Tedrade banking trojans που έχουν τις ονομασίες Guildma, Javali, Melcoz και Grandoreiro, προέρχονται από ένα βραζιλιάνικο banking group που εξελίσσει τις δυνατότητές του, έχοντας ως στόχο τραπεζικούς πελάτες. Το βραζιλιάνικο κυβερνοέγκλημα επικεντρώνεται κυρίως στην ανάπτυξη και εμπορευματοποίηση banking trojans.


Το πρώτο από τα Tedrade banking trojans, με την ονομασία Guildma, βρίσκεται στο προσκήνιο των απειλών τουλάχιστον από το 2015, έχοντας παρατηρηθεί αρχικά σε επιθέσεις που στόχευαν αποκλειστικά Βραζιλιάνους τραπεζικούς πελάτες. Ο κακόβουλος κώδικας ενημερώνεται συνεχώς, έχοντας ενισχυθεί με νέες δυνατότητες, ενώ η ομάδα που βρίσκεται πίσω από αυτό το malware διευρύνει, με την πάροδο των χρόνων, όλο και περισσότερο τη λίστα των στόχων. Επιπλέον, οι χειριστές του malware έχουν δείξει ότι γνωρίζουν πολύ καλά τα νόμιμα εργαλεία, τα οποία χρησιμοποιούν ώστε η απειλή να μην είναι εύκολα ανιχνεύσιμη.


Οι ερευνητές της Kaspersky επεσήμαναν πως το Guildma διαδίδεται σε μεγάλο βαθμό με λήψεις email που περιέχουν κακόβουλο αρχείο σε συμπιεσμένη μορφή. Οι τύποι αρχείων ποικίλλουν από Visual Basic Script έως LNK. Τα περισσότερα από τα phishing email έχουν την μορφή αιτημάτων που υποτίθεται ότι προέρχονται από επιχειρήσεις, πακέτων που αποστέλλονται μέσω courier, ενώ αυτά τα email έχουν συχνά ως θέμα την πανδημία του COVID-19. Τα email φαίνεται να αποστέλλονται πάντα από εταιρείες και οργανισμούς.

Tedrade banking trojans


Το Javali malware δραστηριοποιείται από τον Νοέμβριο του 2017, στοχεύοντας κυρίως πελάτες τραπεζών που βρίσκονται στη Βραζιλία και το Μεξικό. Τόσο το Guildma όσο και το Javali εκτελούν επιθέσεις πολλών σταδίων και διαδίδονται μέσω phishing email, χρησιμοποιώντας συμπιεσμένα συνημμένα αρχεία (π.χ. .VBS, .LNK) ή ένα αρχείο HTML που εκτελεί Javascript για λήψη κακόβουλου αρχείου. Οι ερευνητές παρατήρησαν επίσης ότι το malware χρησιμοποιεί το εργαλείο BITSAdmin για τη λήψη των πρόσθετων modules. Οι χειριστές του χρησιμοποιούν αυτό το εργαλείο για να αποφύγουν τον εντοπισμό, δεδομένου ότι αυτό το εργαλείο περιλαμβάνεται στη λίστα επιτρεπόμενων από το λειτουργικό σύστημα των Windows. Ακόμη, το malware αξιοποιεί τις εναλλακτικές ροές δεδομένων NTFS για να αποκρύψει την παρουσία των ληφθέντων payload, ενώ χρησιμοποιεί επίσης DLL Search Order Hijacking για την εκκίνηση δυαδικών malware προγραμμάτων.


Σύμφωνα με τους ερευνητές, τα payload αποθηκεύονται κρυπτογραφημένα στο σύστημα αρχείων και αποκρυπτογραφούνται στη μνήμη καθώς εκτελούνται. Το τελικό payload που εγκαθιστάται στο σύστημα, θα παρακολουθεί τις δραστηριότητες των χρηστών, όπως ανοιχτούς ιστότοπους και εκτέλεση εφαρμογών και επίσης θα ελέγχει αν βρίσκονται στη λίστα των στόχων. Όταν εντοπίζεται ένας στόχος, το module εκτελείται, δίνοντας στους χάκερ τον έλεγχο των τραπεζικών συναλλαγών. Μόλις εγκατασταθεί το τελικό payload στο σύστημα προορισμού, παρακολουθεί συγκεκριμένους ιστότοπους τραπεζών. Όταν το θύμα ανοίξει αυτούς τους ιστότοπους, οι χάκερ θα αποκτήσουν τον έλεγχο οποιασδήποτε οικονομικής συναλλαγής που πραγματοποιείται από τον συγκεκριμένο χρήστη.


Όσον αφορά το Melcoz, πρόκειται για ένα RAT ανοιχτού κώδικα που αναπτύχθηκε από μια ομάδα που δραστηριοποιείται στη Βραζιλία τουλάχιστον από το 2018, ενώ έχει επεκτείνει πλέον την δραστηριότητά της και σε άλλες χώρες, συμπεριλαμβανομένων της Χιλής και του Μεξικού. Το Melcoz μπορεί να κλέψει κωδικούς πρόσβασης από browsers και πληροφορίες από το πρόχειρο και τα πορτοφόλια Bitcoin, αντικαθιστώντας τις αρχικές πληροφορίες του πορτοφολιού με αυτές που βρίσκονται υπό τον έλεγχο του εισβολέα. Η επίθεση ξεκινά με την αποστολή phishing email που περιέχουν έναν σύνδεσμο προς ένα πρόγραμμα εγκατάστασης MSI με δυνατότητα λήψης. Τα VBS scripts σε αρχεία πακέτου προγράμματος εγκατάστασης (.MSI) κατεβάζουν το κακόβουλο λογισμικό στο σύστημα και, στη συνέχεια, κάνουν κατάχρηση του διερμηνέα AutoIt και της υπηρεσίας VMware NAT για να φορτώσουν το κακόβουλο DLL στο σύστημα προορισμού.

τράπεζες

Ο κώδικας παρακολουθεί τις δραστηριότητες του browser, αναζητώντας online banking sessions. Μόλις τα εντοπίσει, το malware επιτρέπει στον εισβολέα να εμφανίσει ένα παράθυρο επικάλυψης μπροστά από τον browser του θύματος για να χειριστεί το session του. Με αυτόν τον τρόπο, η “δόλια” συναλλαγή πραγματοποιείται από την συσκευή του θύματος, καθιστώντας πιο δύσκολη την ανίχνευση λύσεων κατά της απάτης. Ο κακόβουλος κώδικας θα μπορούσε επίσης να κλέψει πληροφορίες που σχετίζονται με μια τραπεζική συναλλαγή, συμπεριλαμβανομένου ενός εφάπαξ κωδικού πρόσβασης.


Η τελευταία οικογένεια Tedrade malware, με την ονομασία Grandoreiro, δραστηριοποιείται από το 2016, συμμετέχοντας σε μια εκστρατεία που εξαπλώθηκε σε τράπεζες στη Βραζιλία, το Μεξικό, την Πορτογαλία και την Ισπανία. Το malware φιλοξενείται σε σελίδες Google Sites και εξαπλώνεται μέσω παραβιασμένων ιστότοπων και του Google Ads, ενώ οι εισβολείς το διανέμουν μέσω phishing email, όπως κάνουν και με τις άλλες τρεις οικογένειες Tedrade malware. Οι ερευνητές παρατήρησαν ότι χρησιμοποιεί αλγόριθμο δημιουργίας domain (DGA) για την απόκρυψη της διεύθυνσης C2 που χρησιμοποιήθηκε κατά τη διάρκεια της επίθεσης.

τράπεζες

Οι Βραζιλιάνοι απατεώνες διευρύνουν όλο και περισσότερο το δίκτυο των συνεργατών τους, ώστε να επεκταθούν και σε τράπεζες άλλων χωρών, υιοθετούν το MaaS (malware-as-a-service) και προσθέτουν γρήγορα νέες τεχνικές στα malware τους. Τα Tedrade banking trojans προσπαθούν να πρωτοπορήσουν χρησιμοποιώντας DGA, κρυπτογραφημένα payload, DLL hijacking, πολλά LoLBins, μολύνσεις χωρίς αρχεία και άλλα “κόλπα”, ώστε να αποτρέψουν τον εντοπισμό και την ανάλυσή τους από τις τράπεζες. Αυτές οι απειλές αναμένεται ότι θα εξελιχθούν, έχοντας ως στόχο τράπεζες σε ακόμα περισσότερες χώρες.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS