Nieuwe varianten van de bankmalware genaamd Grandoreiro blijken nieuwe tactieken toe te passen in een poging fraudebestrijdingsmaatregelen te omzeilen, wat erop wijst dat de kwaadaardige software actief wordt ontwikkeld ondanks inspanningen van de wetshandhaving om de operatie hard aan te pakken.
“Slechts een deel van deze bende werd gearresteerd: de overgebleven operators achter Grandoreiro blijven gebruikers over de hele wereld aanvallen, nieuwe malware verder ontwikkelen en nieuwe infrastructuur opzetten”, zei Kaspersky in een dinsdag gepubliceerde analyse.
Enkele van de andere nieuw geïntroduceerde trucs zijn onder meer het gebruik van een domeingeneratie-algoritme (DGA) voor command-and-control (C2)-communicatie, encryptie voor het stelen van ciphertext (CTS) en muistracking. Er worden ook “lichtere, lokale versies” waargenomen die specifiek gericht zijn op bankklanten in Mexico.
Grandoreiro, actief sinds 2016, is in de loop van de tijd consequent geëvolueerd en heeft zich ingespannen om onopgemerkt te blijven, terwijl het ook zijn geografische reikwijdte heeft uitgebreid naar Latijns-Amerika en Europa. Het is in staat om inloggegevens te stelen van 1.700 financiële instellingen, gevestigd in 45 landen en gebieden.
Er wordt gezegd dat het werkt volgens het Malware-as-a-Service (MaaS)-model, hoewel er aanwijzingen zijn dat het alleen wordt aangeboden aan geselecteerde cybercriminelen en vertrouwde partners.
Een van de belangrijkste ontwikkelingen dit jaar met betrekking tot Grandoreiro zijn de arrestaties van enkele leden van de groep, een gebeurtenis die heeft geleid tot de fragmentatie van de Delphi-codebasis van de malware.
“Deze ontdekking wordt ondersteund door het bestaan van twee verschillende codebases in gelijktijdige campagnes: nieuwere samples met bijgewerkte code, en oudere samples die afhankelijk zijn van de oude codebase, die zich nu alleen richten op gebruikers in Mexico – klanten van ongeveer 30 banken”, aldus Kaspersky.
Grandoreiro wordt voornamelijk verspreid via phishing-e-mail, en in mindere mate via kwaadaardige advertenties op Google. De eerste fase is een ZIP-bestand, dat op zijn beurt een legitiem bestand bevat en een MSI-lader die verantwoordelijk is voor het downloaden en starten van de malware.
Campagnes die in 2023 zijn waargenomen, blijken gebruik te maken van extreem grote draagbare uitvoerbare bestanden met een bestandsgrootte van 390 MB door zich voor te doen als AMD External Data SSD-stuurprogramma’s om sandboxes te omzeilen en onder de radar te blijven.
De bankmalware is uitgerust met functies om hostinformatie en IP-adreslocatiegegevens te verzamelen. Het extraheert ook de gebruikersnaam en controleert of deze de strings “John” of “WORK” bevat, en als dat zo is, stopt het de uitvoering ervan.
“Grandoreiro zoekt naar anti-malwareoplossingen zoals AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan en CrowdStrike”, aldus het bedrijf. “Het zoekt ook naar bankbeveiligingssoftware, zoals Topaz OFD en Trusteer.”
Een andere opvallende functie van de malware is het controleren op de aanwezigheid van bepaalde webbrowsers, e-mailclients, VPN- en cloudopslagapplicaties op het systeem en het monitoren van de gebruikersactiviteit in die apps. Bovendien kan het fungeren als een clipper om cryptocurrency-transacties om te leiden naar portemonnees die onder de controle van de bedreigingsacteur staan.
Nieuwere aanvalsketens die in de nasleep van de arrestaties dit jaar zijn ontdekt, omvatten een CAPTCHA-barrière voorafgaand aan de uitvoering van de hoofdlading als een manier om automatische analyse te omzeilen.
De nieuwste versie van Grandoreiro heeft ook belangrijke updates ontvangen, waaronder de mogelijkheid om zichzelf bij te werken, toetsaanslagen te loggen, het land te selecteren voor de lijst van slachtoffers, bankbeveiligingsoplossingen te detecteren, Outlook te gebruiken om spam-e-mails te verzenden en Outlook-e-mails te controleren op specifieke trefwoorden.
Het is ook uitgerust om muisbewegingen vast te leggen, wat een poging signaleert om gebruikersgedrag na te bootsen en antifraudesystemen te misleiden om de activiteit als legitiem te identificeren.
“Deze ontdekking benadrukt de voortdurende evolutie van malware zoals Grandoreiro, waarbij aanvallers steeds vaker tactieken toepassen die zijn ontworpen om moderne beveiligingsoplossingen tegen te gaan die afhankelijk zijn van gedragsbiometrie en machinaal leren”, aldus de onderzoekers.
Zodra de inloggegevens zijn verkregen, verzilveren de bedreigingsactoren het geld op rekeningen van lokale geldmuilezels door middel van overdrachtsapps, cryptocurrency, cadeaubonnen of een geldautomaat. De muilezels worden geïdentificeerd via Telegram-kanalen en betalen hen $ 200 tot $ 500 per dag.
Toegang op afstand tot de machine van het slachtoffer wordt mogelijk gemaakt met behulp van een op Delphi gebaseerde tool genaamd Operator, die een lijst met slachtoffers weergeeft wanneer ze beginnen met surfen op een gerichte website van een financiële instelling.
“De bedreigingsactoren achter de bankmalware Grandoreiro ontwikkelen voortdurend hun tactieken en malware om met succes aanvallen op hun doelwitten uit te voeren en beveiligingsoplossingen te omzeilen”, aldus Kaspersky.
“Braziliaanse banktrojans vormen al een internationale bedreiging; ze vullen de gaten op die zijn achtergelaten door Oost-Europese bendes die zijn overgestapt op ransomware.”
