Παρά τη σύλληψη βασικών χειριστών του στις αρχές του 2024, το Grandoreiro ακόμη χρησιμοποιείται από εταίρους του σε νέες εκστρατείες. Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT) ανακάλυψε μια νέα light έκδοση που στοχοποιεί περίπου 30 τράπεζες στο Μεξικό. Τα ευρήματα αυτά πρόκειται να παρουσιαστούν στο Security Analyst Summit (SAS) 2024. Το Grandoreiro παραμένει μια από τις πιο ενεργές απειλές παγκοσμίως, στοχεύοντας χρήστες περισσότερων από 1.700 τραπεζών, με τις παραλλαγές του να αντιπροσωπεύουν περίπου το 5% των φετινών επιθέσεων με banking trojan. Το Μεξικό είναι μια από τις πιο στοχοποιημένες χώρες από παραλλαγές του Grandoreiro, συμπεριλαμβανομένης της νέας light παραλλαγής, με 51.000 καταγεγραμμένα περιστατικά φέτος.
Η Kaspersky, αφού συνέδραμε στη συντονισμένη επιχείρηση της INTERPOL που οδήγησε τις βραζιλιάνικες αρχές στη σύλληψη χειριστών του banking trojan Grandoreiro, ανακάλυψε ότι η βάση κώδικα της ομάδας χωρίστηκε σε ελαφρύτερες, διασπασμένες εκδοχές του trojan, προκειμένου να συνεχιστούν οι επιθέσεις. Πρόσφατες αναλύσεις έχουν εντοπίσει μια συγκεκριμένη light έκδοση που στοχεύει κυρίως στο Μεξικό και χρησιμοποιείται για να επηρεάσει 30 περίπου χρηματοπιστωτικά ιδρύματα. Οι δημιουργοί της πιθανότατα έχουν πρόσβαση στον πηγαίο κώδικα, ξεκινώντας νέες εκστρατείες με τη χρήση του απλοποιημένου «κληρονομημένου» κακόβουλου λογισμικού.
«Όλα τα πρόσφατα γεγονότα υπογραμμίζουν την εξελισσόμενη φύση της απειλής. Οι διασπασμένες και ελαφρύτερες εκδόσεις ίσως αντιπροσωπεύουν μια τάση που θα μπορούσε να επεκταθεί πέρα από το Μεξικό και σε άλλες περιοχές, ακόμη και εκτός Λατινικής Αμερικής. Παρόλα αυτά, πιστεύουμε ότι μόνο ορισμένοι έμπιστοι συνεργάτες έχουν πρόσβαση στον πηγαίο κώδικα του κακόβουλου λογισμικού ώστε να αναπτύξουν τέτοιες ελαφρύτερες εκδόσεις. Το Grandoreiro λειτουργεί διαφορετικά από το παραδοσιακό μοντέλο ‘Malware-as-a-Service’ που έχουμε συνηθίσει. Δεν θα βρείτε ανακοινώσεις σε ύποπτα φόρουμ που να πωλούν το πακέτο Grandoreiro· η πρόσβαση σε αυτό φαίνεται αντιθέτως να είναι περιορισμένη», εξηγεί ο Fabio Assolini, επικεφαλής της GReAT Λατινικής Αμερικής στην Kaspersky.
Πολλαπλές παραλλαγές του Grandoreiro, συμπεριλαμβανομένης της νέας light έκδοσης και του βασικού κακόβουλου λογισμικού, αντιπροσωπεύουν περίπου το 5% των παγκόσμιων επιθέσεων τραπεζικών trojan που ανιχνεύθηκαν από την Kaspersky το 2024, καθιστώντας το μια από τις πιο ενεργές απειλές παγκοσμίως. Η Kaspersky ανέλυσε επίσης τα νεότερα δείγματα της βασικής έκδοσης του Grandoreiro από το 2024 και παρατήρησε νέες τακτικές. Το malware καταγράφει τη δραστηριότητα του ποντικιού για να μιμηθεί μοτίβα πραγματικής χρήσης, ώστε να μην είναι ανισχνεύσιμο από συστήματα ασφαλείας που βασίζονται στη μηχανική μάθηση και πραγματοποιούν ανάλυση συμπεριφοράς. Αναπαράγοντας φυσικές κινήσεις του ποντικιού, το malware επιδιώκει να εξαπατήσει τα σχετικά εργαλεία προστασίας ώστε να θεωρήσουν τη δραστηριότητα ως νόμιμη.
Το Grandoreiro έχει επίσης υιοθετήσει μια τεχνική κρυπτογράφησης γνωστή ως Ciphertext Stealing (CTS), την οποία η Kaspersky δεν έχει ξαναδεί να χρησιμοποιείται σε κακόβουλο λογισμικό. Σε αυτήν την περίπτωση, ο στόχος είναι να κρυπτογραφηθούν οι κακόβουλες σειρές κώδικα. «Το Grandoreiro έχει μεγάλη και πολύπλοκη δομή, γεγονός που θα διευκόλυνε τα εργαλεία ασφαλείας ή τους αναλυτές να το εντοπίσουν αν οι αλυσίδες κώδικα δεν ήταν κρυπτογραφημένες. Για τον λόγο αυτό πιθανότατα εισήγαγαν αυτήν τη νέα τεχνική – για να δυσκολέψουν τον εντοπισμό και την ανάλυση των επιθέσεών τους», διευκρίνισε ο Fabio Assolini.
Τα δεδομένα της Kaspersky δείχνουν ότι το Grandoreiro είναι ενεργό από το 2016. Το 2024, η απειλή αφορά περισσότερα από 1.700 χρηματοπιστωτικά ιδρύματα και 276 πορτοφόλια κρυπτονομισμάτων σε 45 χώρες και περιοχές, με την Ασία και την Αφρική να προστίθενται πρόσφατα στη λίστα των στόχων του, καθιστώντας το μια πραγματικά παγκόσμια χρηματοπιστωτική απειλή.