Експерти “Лабораторії Касперського” виявили нову активність банківського трояна Grandoreiro, незважаючи на попередні заяви про припинення його діяльності. Поточна версія шкідливого програмного забезпечення націлена на клієнтів близько 30 мексиканських банків, що свідчить про триваючу еволюцію цієї серйозної кіберзагрози.
Історія та розвиток Grandoreiro
Grandoreiro, який активно діє з 2016 року, зарекомендував себе як один з найпоширеніших банківських троянів у світі. У січні 2024 року міжнародна операція за участю правоохоронних органів Бразилії, Іспанії та Інтерполу, а також компаній ESET і Caixa Bank, призвела до арештів учасників хакерської групи. Однак, як показують останні дослідження, не всі оператори Grandoreiro були затримані.
Нові тактики та технології
Аналіз нових зразків Grandoreiro виявив ряд вдосконалених методів, що застосовуються зловмисниками:
Імітація активності користувача
Троян тепер здатний записувати та відтворювати рухи миші, імітуючи реальні кліки. Ця тактика спрямована на обхід систем безпеки, що аналізують поведінку користувачів.
Вдосконалене шифрування
Grandoreiro використовує криптографічну техніку Ciphertext Stealing (CTS), яка дозволяє ефективно шифрувати рядки шкідливого коду, ускладнюючи виявлення загрози.
Масштаб та географія атак
Згідно з звітом “Лабораторії Касперського”, Grandoreiro залишається однією з найактивніших глобальних загроз:
- На частку Grandoreiro припадає близько 5% всіх атак банківських троянів
- Більшість атак зафіксовано в Мексиці (51 000 інцидентів)
- У 2024 році різні версії трояна були націлені на користувачів понад 1700 фінансових установ та 276 криптовалютних гаманців у 45 країнах світу
Адаптація та фрагментація коду
Після арештів деяких операторів Grandoreiro відбувся поділ кодової бази на легші версії, що атакують меншу кількість цілей. Експерти виявили існування двох різних кодових баз, які використовуються одночасно:
- Нові зразки з оновленим кодом
- Старі зразки, засновані на попередній кодовій базі, націлені тільки на клієнтів мексиканських банків
Ця стратегія фрагментації коду дозволяє зловмисникам адаптуватися до дій правоохоронних органів і продовжувати свою шкідливу діяльність. Враховуючи масштаб і складність загрози, яку представляє Grandoreiro, критично важливо, щоб фінансові установи та їхні клієнти були пильними та застосовували багаторівневі заходи захисту. Регулярне оновлення програмного забезпечення, використання надійних антивірусних рішень та підвищення обізнаності користувачів щодо методів соціальної інженерії можуть значно знизити ризик успішних атак. Міжнародна співпраця у сфері кібербезпеки залишається ключовим фактором у боротьбі з подібними глобальними загрозами.
