臭名昭著的“Grandoreiro”银行木马在最近针对西班牙一家化学品制造商的员工以及墨西哥汽车和机械制造商的工人的攻击中被发现。
该恶意软件至少自 2017 年以来一直在野外活跃,并且仍然是西班牙语用户面临的此类最重大威胁之一。
Zscaler的分析师发现的最近的活动于 2022 年 6 月开始,并且仍在进行中。它涉及部署一个 Grandoreiro 恶意软件变种,该变种具有几个新功能以逃避检测和反分析,以及改进的 C2 系统。
最新 Grandoreiro 活动的受害者地图 (Zscaler)
从电子邮件开始
感染链始于一封伪装成来自墨西哥城总检察长办公室或西班牙公共部的电子邮件,具体取决于目标。
消息主题围绕州退款、诉讼变更通知、抵押贷款取消等展开。
最新活动中使用的网络钓鱼电子邮件之一 (Zscaler)
该电子邮件包含一个链接,该链接将受害者重定向到一个丢弃 ZIP 档案的网站。该文件包含伪装成 PDF 文件的 Grandoreiro 加载器模块,以诱骗受害者启动它。
一旦发生这种情况,将从远程 HTTP 文件服务器(“http://15[.]188[.]63[.]127:36992/zxeTYhO.xml”)以压缩的 9.2MB 形式获取 Delphi 有效负载ZIP 并由加载程序提取和执行。
Grandoreiro 的最新感染链 (Zscaler)
在该阶段,加载程序收集系统信息,检索已安装的 AV 程序、加密货币钱包和电子银行应用程序的列表,并将它们发送到 C2。
使用从华硕窃取的证书签名的最终有效载荷通过“二进制填充”的方法假设膨胀大小为 400MB,以逃避沙盒分析。
签署最终有效负载的证书 (Zscaler)
在安全分析师 Ankit Anubhav 在Twitter 上强调的一个案例中,Grandoreiro 甚至要求受害者解决验证码以在系统上运行,这是另一种逃避分析的尝试。
验证码步骤服务于受害者 ( @ankit_anubhav )
最后,通过添加两个新的注册表项来保持重启之间的持久性,将 Grandoreiro 设置为在系统启动时启动。
在被破坏的系统上添加的注册表项 (Zscaler)
格兰多雷罗功能
Zscaler 采样的最新 Grandoreiro 变体中的新增功能之一是使用 DGA(域生成算法)进行 C2 通信,这使得映射恶意软件的基础设施并将其拆除具有挑战性。
C2 通信模式现在与 LatentBot 相同,使用“ACTION+HELLO”信标和基于 ID 的 cookie 值响应。
葡萄牙网络安全博主 Pedro Taveres在 2020 年首次发现了这两种恶意软件之间的共性,但直到最近才完成将 C2 通信技术同化到 Grandoreiro 的代码中。
主机上恶意软件的后门功能包括:
键盘记录
更新版本和模块的自动更新
Web-Injects 和限制对特定网站的访问
命令执行
操作窗口
将受害者的浏览器引导到特定的 URL
通过 DGA(域生成算法)生成 C2 域
模仿鼠标和键盘动作
外表
最近的活动表明,Grandoreiro 的运营商有兴趣进行针对性强的攻击,而不是向随机收件人发送大量垃圾邮件。
此外,恶意软件的不断发展赋予其更强的反分析和检测规避功能,为更隐蔽的操作奠定了基础。
虽然 Zscaler 的报告没有深入探讨当前活动的具体目标,但 Grandoreiro 的运营商历来表现出财务动机,因此假设情况保持不变。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Grandoreiro银行恶意软件针对西班牙、墨西哥的制造商
