Μια επιχείρηση επιβολής του νόμου στη Βραζιλία οδήγησε στη σύλληψη αρκετών βραζιλιάνων υπευθύνων για το κακόβουλο λογισμικό Grandoreiro.
Δείτε επίσης: 10 νέα Android banking trojans εμφανίστηκαν μέσα στο 2023
Η Ομοσπονδιακή Αστυνομία της Βραζιλίας είπε ότι εξέδωσε πέντε εντάλματα προσωρινής σύλληψης και 13 εντάλματα έρευνας και κατάσχεσης στις πολιτείες Σάο Πάολο, Σάντα Καταρίνα, Πάρα, Γκόγιας και Μάτο Γκρόσο.
Η εταιρεία κυβερνοασφάλειας ESET από τη Σλοβακία, η οποία παρείχε επιπλέον βοήθεια στην προσπάθεια, ανέφερε ότι ανακάλυψε ένα σφάλμα στον σχεδιασμό του πρωτοκόλλου δικτύου του Grandoreiro, το οποίο βοήθησε να αναγνωρίσει τα πρότυπα θυματολογίας.
Το Grandoreiro είναι ένα από τα πολλά trojan της Λατινικής Αμερικής, όπως ta Javali, Melcoz, Casabeniero, Mekotio και Vadokrist, που στοχεύουν κυρίως χώρες όπως η Ισπανία, το Μεξικό, η Βραζιλία και η Αργεντινή. Είναι γνωστό ότι δραστηριοποιείται από το 2017. Προς το τέλος του Οκτωβρίου του 2023, η Proofpoint αποκάλυψε λεπτομέρειες μιας επίθεσης phishing που διέδωσε μια ενημερωμένη έκδοση του κακόβουλου λογισμικού σε στόχους στο Μεξικό και την Ισπανία.
Το trojan τραπεζικών συστημάτων διαθέτει δυνατότητες για την κλοπή δεδομένων μέσω keyloggers και screenshots, καθώς και για την απόσπαση πληροφοριών σύνδεσης στην τράπεζα από overlays, όταν ένα μολυσμένο θύμα επισκέπτεται προκαθορισμένες τραπεζικές ιστοσελίδες που στοχεύονται από τους δράστες. Μπορεί επίσης να εμφανίζει παραπλανητικά αναδυόμενα παράθυρα και να αποκλείει την οθόνη του θύματος.
Οι αλυσίδες επιθέσεων συνήθως εκμεταλλεύονται “δολώματα” phishing που περιέχουν παραπλανητικά έγγραφα ή κακόβουλους συνδέσμους που, όταν ανοίγονται ή κάνουν κλικ, οδηγούν στην εγκατάσταση κακόβουλου λογισμικού, το οποίο στη συνέχεια επικοινωνεί με έναν διακομιστή command-and-control (C&C) για τον απομακρυσμένο έλεγχο της μηχανής με χειροκίνητο τρόπο.
Δείτε ακόμα: Huawei, Honor και Vivo smartphones εντοπίζουν το Google app ως TrojanSMS-PA malware
“To Grandoreiro παρακολουθεί περιοδικά το παράθυρο προσκηνίου για να βρει ένα που ανήκει σε διεργασία περιήγησης στον ιστό“, ανέφερε η ESET.
Οι δράστες που βρίσκονται πίσω από το κακόβουλο λογισμικό είναι επίσης γνωστοί για τη χρήση ενός αλγορίθμου δημιουργίας τομέα (DGA) από τον Οκτώβριο του 2020 για τη δυναμική αναγνώριση ενός προορισμού τομέα για την κίνηση C&C, καθιστώντας το πιο δύσκολο να αποκλειστεί, να παρακολουθηθεί ή να ελεγχθεί η υποδομή.
Η πλειοψηφία των διευθύνσεων IP που αντιστοιχούν σε αυτούς τους τομείς παρέχονται κυρίως από τις υπηρεσίες Amazon Web Services (AWS) και Microsoft Azure, ενώ η διάρκεια ζωής των διευθύνσεων IP των C&C κυμαίνεται από 1 ημέρα έως 425 ημέρες. Κατά μέσο όρο, υπάρχουν 13 ενεργές και τρεις νέες διευθύνσεις IP των C&C ανά ημέρα, αντίστοιχα.
Επίσης, η ESET αναφέρει ότι η ελαττωματική εφαρμογή του πρωτοκόλλου δικτύου RealThinClient (RTC) από το Grandoreiro επέτρεψε την ανάκτηση πληροφοριών σχετικά με τον αριθμό των θυμάτων που συνδέονται στον διακομιστή C&C. Εντοπίστηκαν κατά μέσο όρο 551 μοναδικά θύματα ανά ημέρα, τα οποία βρίσκονται κυρίως σε Βραζιλία, Μεξικό και Ισπανία.
Μετά από περαιτέρω έρευνα, διαπιστώθηκε ότι καθημερινά συνδέονται με τους διακομιστές C&C μέσω 114 νέων μοναδικών θυμάτων.
Δείτε επίσης: Chameleon banking trojan: Νέα παραλλαγή παρακάμπτει βιομετρικούς ελέγχους
Ποιες είναι οι πιο πρόσφατες τεχνικές αντιμετώπισης των Banking Trojans;
Μια από τις πιο πρόσφατες τεχνικές αντιμετώπισης των Banking Trojans είναι η χρήση προηγμένων λύσεων ασφαλείας που περιλαμβάνουν την ανίχνευση συμπεριφοράς και την ανάλυση απειλών. Αυτές οι λύσεις χρησιμοποιούν τεχνητή νοημοσύνη και μηχανική εκμάθηση για να αναγνωρίσουν και να αποκλείσουν τις απειλές πριν αυτές προκαλέσουν ζημιά. Επιπλέον, η ενημέρωση του λογισμικού και των εφαρμογών είναι μια άλλη σημαντική τεχνική. Τα ενημερωμένα συστήματα και εφαρμογές διαθέτουν τις πιο πρόσφατες διορθώσεις ασφαλείας που μπορούν να προστατεύσουν από τις τελευταίες γνωστές απειλές.
Η χρήση πολυπαραγοντικής ταυτοποίησης (MFA) είναι επίσης μια αποτελεσματική τεχνική για την προστασία από τα Banking Trojans. Το MFA προσθέτει ένα επιπλέον επίπεδο ασφαλείας απαιτώντας από τους χρήστες να επιβεβαιώσουν την ταυτότητά τους μέσω δύο ή περισσότερων μεθόδων ταυτοποίησης.
Τέλος, η εκπαίδευση των χρηστών για την αναγνώριση και την αποφυγή των επιθέσεων phishing μπορεί να είναι ιδιαίτερα αποτελεσματική. Οι χρήστες που γνωρίζουν τα σημάδια των επιθέσεων phishing είναι λιγότερο πιθανό να γίνουν θύματα των Banking Trojans.
Πηγή: thehackernews
