Специалисты по кибербезопасности из «Лаборатории Касперского» обнаружили новую активность банковского трояна Grandoreiro, несмотря на ранее заявленное пресечение его деятельности. Текущая версия вредоносного ПО нацелена на клиентов около 30 мексиканских банков, что свидетельствует о продолжающейся эволюции этой серьезной киберугрозы.
История и развитие Grandoreiro
Grandoreiro, активный с 2016 года, зарекомендовал себя как один из наиболее распространенных банковских троянов в мире. В январе 2024 года международная операция с участием правоохранительных органов Бразилии, Испании и Интерпола, а также компаний ESET и Caixa Bank, привела к арестам участников хакерской группы. Однако, как показывают последние исследования, не все операторы Grandoreiro были задержаны.
Новые тактики и технологии
Анализ новых образцов Grandoreiro выявил ряд усовершенствованных методов, применяемых злоумышленниками:
Имитация активности пользователя
Троян теперь способен записывать и воспроизводить движения мыши, имитируя реальные клики. Эта тактика направлена на обход систем безопасности, анализирующих поведение пользователей.
Усовершенствованное шифрование
Grandoreiro использует криптографическую технику Ciphertext Stealing (CTS), которая позволяет эффективно шифровать строки вредоносного кода, затрудняя обнаружение угрозы.
Масштаб и география атак
Согласно отчету «Лаборатории Касперского», Grandoreiro остается одной из наиболее активных глобальных угроз:
- На долю Grandoreiro приходится около 5% всех атак банковских троянов
- Большинство атак зафиксировано в Мексике (51 000 инцидентов)
- В 2024 году различные версии трояна были нацелены на пользователей более 1700 финансовых институтов и 276 криптовалютных кошельков в 45 странах мира
Адаптация и фрагментация кода
После арестов некоторых операторов Grandoreiro произошло разделение кодовой базы на более легкие версии, атакующие меньшее количество целей. Эксперты обнаружили существование двух различных кодовых баз, используемых одновременно:
- Новые образцы с обновленным кодом
- Старые образцы, основанные на предыдущей кодовой базе, нацеленные только на клиентов мексиканских банков
Эта стратегия фрагментации кода позволяет злоумышленникам адаптироваться к действиям правоохранительных органов и продолжать свою вредоносную деятельность.
Учитывая масштаб и сложность угрозы, представляемой Grandoreiro, критически важно, чтобы финансовые учреждения и их клиенты были бдительны и применяли многоуровневые меры защиты. Регулярное обновление программного обеспечения, использование надежных антивирусных решений и повышение осведомленности пользователей о методах социальной инженерии могут значительно снизить риск успешных атак. Международное сотрудничество в области кибербезопасности остается ключевым фактором в борьбе с подобными глобальными угрозами.
