Cybersicherheitsexperten von Kaspersky haben neue Aktivitäten des berüchtigten Banken-Trojaners Grandoreiro entdeckt, obwohl dessen Betreiber zuvor angeblich festgenommen wurden. Die aktuelle Version der Malware zielt auf Kunden von etwa 30 mexikanischen Banken ab, was die anhaltende Bedrohung durch diese hochentwickelte Cyberkriminalität unterstreicht.
Hintergrund und Evolution von Grandoreiro
Grandoreiro, seit 2016 aktiv, hat sich als einer der am weitesten verbreiteten Banken-Trojaner weltweit etabliert. Im Januar 2024 führte eine internationale Operation unter Beteiligung von Strafverfolgungsbehörden aus Brasilien, Spanien und Interpol sowie den Unternehmen ESET und Caixa Bank zur Verhaftung mehrerer Mitglieder der Hackergruppe. Neueste Untersuchungen zeigen jedoch, dass nicht alle Grandoreiro-Operatoren gefasst wurden.
Fortschrittliche Taktiken und Technologien
Die Analyse neuer Grandoreiro-Samples offenbart mehrere verbesserte Methoden der Cyberkriminellen:
Simulation von Benutzeraktivitäten
Der Trojaner kann nun Mausbewegungen aufzeichnen und wiedergeben, um echte Klicks zu imitieren. Diese Taktik zielt darauf ab, Sicherheitssysteme zu umgehen, die das Benutzerverhalten analysieren.
Erweiterte Verschlüsselung
Grandoreiro setzt die kryptographische Technik Ciphertext Stealing (CTS) ein, um Zeichenketten des bösartigen Codes effizient zu verschlüsseln und so die Erkennung der Bedrohung zu erschweren.
Umfang und geographische Verteilung der Angriffe
Laut dem Bericht von Kaspersky bleibt Grandoreiro eine der aktivsten globalen Bedrohungen:
- Grandoreiro ist für etwa 5% aller Angriffe durch Banken-Trojaner verantwortlich
- Die meisten Angriffe wurden in Mexiko registriert (51.000 Vorfälle)
- Im Jahr 2024 zielten verschiedene Versionen des Trojaners auf Nutzer von über 1.700 Finanzinstituten und 276 Kryptowährungsbörsen in 45 Ländern weltweit ab
Anpassung und Code-Fragmentierung
Nach der Verhaftung einiger Grandoreiro-Betreiber wurde die Codebasis in leichtere Versionen aufgeteilt, die weniger Ziele angreifen. Experten entdeckten zwei verschiedene Codebasen, die parallel verwendet werden:
- Neue Samples mit aktualisiertem Code
- Ältere Samples, die auf der vorherigen Codebasis basieren und nur auf Kunden mexikanischer Banken abzielen
Diese Strategie der Code-Fragmentierung ermöglicht es den Cyberkriminellen, sich an die Maßnahmen der Strafverfolgungsbehörden anzupassen und ihre schädlichen Aktivitäten fortzusetzen. Angesichts des Ausmaßes und der Komplexität der von Grandoreiro ausgehenden Bedrohung ist es für Finanzinstitute und ihre Kunden von entscheidender Bedeutung, wachsam zu bleiben und mehrschichtige Schutzmaßnahmen anzuwenden. Regelmäßige Software-Updates, der Einsatz zuverlässiger Antivirenlösungen und die Sensibilisierung der Nutzer für Social-Engineering-Methoden können das Risiko erfolgreicher Angriffe erheblich reduzieren. Die internationale Zusammenarbeit im Bereich der Cybersicherheit bleibt ein Schlüsselfaktor im Kampf gegen solche globalen Bedrohungen.
