Grandoreiro zaatakował od marca tego roku ponad 1500 banków znajdujących się w 60 krajach na wszystkich kontynentach, w tym również polskie. Są to masowe ataki phishingowe, które hakerzy inicjują w trybie MaaS (Malware-as-a-Service).
Trojan został od ostatnim czasie mocno zaktualizowany, dlatego jest teraz dużo groźniejszy. Rozsyła wiadomości phishingowe, wykorzystując do tego celu zainfekowane hosty, które obsługują klientów Microsoft Outlook. Ataki rozpoczynają się standardowo od rozsyłania wiadomości e-mail. Zawierają one prośbę, aby ich odbiorcy kliknęli łącze w celu wyświetlenia faktury lub dokonania płatności.
Gdy to zrobią, pobierają plik ZIP zawierający modułu, który ładuje właściwego trojana Grandoreiro. Hakerzy zastosowali przy tym ciekawą metodę, która pozwala im ominąć oprogramowanie wykrywające złośliwe oprogramowania. Polega ona na tym, że wielkość modułu ładującego trojana jest sztucznie zawyżona do ponad 100 MB.
Zobacz również:
Trojan rozpoczyna swoją aktywność od zmodyfikowania jednego w rejestrów rejestru Windows, po czym nawiązuje połączenia z serwerem C2 w celu otrzymania dalszych instrukcji. Grandoreiro pozwala cyberprzestępcom zdalnie przejąć kontrolę nad systemem, przeprowadzać operacje na plikach i włączać specjalne tryby, w tym nowy moduł, który gromadzi dane programu Microsoft Outlook i wykorzystuje konto e-mail ofiary do wysyłania wiadomości spamowych do innych komputerów.
Wykorzystując lokalnego klienta Outlook, Grandoreiro może rozprzestrzeniać się poprzez skrzynki odbiorcze zainfekowanych ofiar za pośrednictwem poczty elektronicznej, co prawdopodobnie przyczynia się do tego, że jest w stanie rozsyłać olbrzymią ilość spamu.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS