Kötü şöhretli ‘Grandoreiro’ bankacılık truva atı, İspanya’daki bir kimyasal üreticisinin çalışanlarını ve Meksika’daki otomotiv ve makine üreticilerinin çalışanlarını hedef alan son saldırılarda tespit edildi.
Kötü amaçlı yazılım, o zamandan beri vahşi doğada aktif en az 2017 İspanyolca konuşan kullanıcılar için türünün en önemli tehditlerinden biri olmaya devam ediyor.
Analistler tarafından tespit edilen son kampanya Zscaler, Haziran 2022’de başladı ve halen devam ediyor. Tespit ve analizden kaçınmak için birkaç yeni özellik içeren bir Grandoreiro kötü amaçlı yazılım varyantının yanı sıra yenilenmiş bir C2 sisteminin dağıtımını içerir.
Bir e-posta ile başlar
Enfeksiyon zinciri, hedefe bağlı olarak Mexico City Başsavcılığı’ndan veya İspanya Kamu Bakanlığı’ndan geliyormuş gibi davranan bir e-posta ile başlar.
Mesaj konusu, devlet geri ödemeleri, dava değişiklikleri bildirimleri, ipotek kredilerinin iptali ve daha fazlası etrafında döner.
E-posta, kurbanları ZIP arşivi bırakan bir web sitesine yönlendiren bir bağlantı içerir. Bu dosya, kurbanı başlatması için kandırmak için bir PDF dosyası gibi görünen Grandoreiro yükleyici modülünü içeriyor.
Bu gerçekleştiğinde, uzak bir HTTP dosya sunucusundan bir Delphi yükü getirilir (“http://15[.]188[.]63[.]127:36992/zxeTYhO.xml”) sıkıştırılmış bir 9.2MB ZIP biçimindedir ve yükleyici tarafından ayıklanır ve yürütülür.
Bu aşamada yükleyici sistem bilgilerini toplar, kurulu AV programlarının, kripto para cüzdanlarının ve e-bankacılık uygulamalarının bir listesini alır ve bunları C2’ye gönderir.
ASUSTEK’ten çalınan bir sertifika ile imzalanan son yük, sanal alan analizinden kaçınmak için “ikili doldurma” yöntemiyle şişirilmiş 400 MB boyutunda olduğunu varsayar.
Güvenlik analisti Ankit Anubhav tarafından vurgulanan bir vakada heyecanGrandoreiro, kurbandan sistemde çalışacak bir CAPTCHA’yı çözmesini bile ister, bu da analizden kaçmak için başka bir girişimdir.
Son olarak, iki yeni Kayıt Defteri anahtarı eklenerek, Grandoreiro’nun sistem başlangıcında başlatılmasını ayarlayarak yeniden başlatmalar arasındaki kalıcılık korunur.
Grandoreiro’nun özellikleri
Zscaler tarafından örneklenen en son Grandoreiro varyantındaki yeni eklemelerden biri, kötü amaçlı yazılımın altyapısını haritalamayı ve onu indirmeyi zorlaştıran C2 iletişimleri için DGA’nın (etki alanı oluşturma algoritması) kullanılmasıdır.
C2 iletişim modeli artık “EYLEM+HELLO” işaretleri ve kimlik tabanlı tanımlama bilgisi değeri yanıtları kullanılarak LatentBot’unkiyle aynıdır.
Portekizli siber güvenlik blog yazarı Pedro Taveres, ilk olarak iki kötü amaçlı yazılım türü arasındaki ortak noktaları tespit etti. 2020’deancak C2 iletişim tekniklerinin Grandoreiro’nun koduna asimilasyonu ancak yakın zamanda tamamlandı.
Ana bilgisayardaki kötü amaçlı yazılımın arka kapı yetenekleri şunları içerir:
- tuş günlüğü
- Daha yeni sürümler ve modüller için Otomatik Güncelleme
- Web-Injects ve belirli web sitelerine erişimi kısıtlama
- Komut yürütme
- Pencereleri manipüle etme
- Kurbanın tarayıcısını belirli bir URL’ye yönlendirmek
- DGA aracılığıyla C2 Etki Alanı Oluşturma (Etki Alanı Oluşturma Algoritması)
- Fare ve klavye hareketlerini taklit etme
Görünüm
Son kampanya, Grandoreiro’nun operatörlerinin rastgele alıcılara büyük hacimli spam e-postaları göndermek yerine yüksek hedefli saldırılar yapmakla ilgilendiğini gösteriyor.
Ayrıca, kötü amaçlı yazılımın daha güçlü anti-analiz ve algılamadan kaçınma özellikleri sağlayan sürekli gelişimi, daha gizli operasyonlar için zemin hazırlar.
Zscaler’in raporu, mevcut kampanyanın belirli hedeflerine derinlemesine girmese de, Grandoreiro’nun operatörleri tarihsel olarak finansal gerekçeler gösterdiler, bu nedenle durumun aynı kaldığı varsayılıyor.