Аналитики компании ESET предупредили о всплеске активности банковского трояна Grandoreiro на фоне пандемии COVID-19.
Эксперты пишут, что ранее написанный в Delphi Grandoreiro распространялся в основном при помощи спама, через фейковые сообщения о необходимости обновления Java или Flash. Но теперь специалисты ESET обнаружили, что активный с 2017 года банкер паразитирует на пандемии COVID-19: он стал скрываться в видео на поддельных сайтах, обещающих предоставить пользователям некие сенсационные данные о коронавирусе. При попытке воспроизвести видеоролик на таком ресурсе, начинается загрузка вредоноса на устройство пользователя.
Среди функций малвари Grandoreiro: манипулирование окнами, самообновление, кейлоггер, эмуляция действий мыши и клавиатуры, управление браузером жертвы и навигация по выбранным URL-адресам, а также перезапуск устройств и блокировка доступа к определенным веб-сайтам.
Троян собирает различную информацию о скомпрометированных устройствах: название компьютера, имя пользователя, версия операционной системы. Он выясняет, установлено ли приложение для защиты доступа к онлайн-банкингу, получает список установленных продуктов безопасности. Некоторые версии Grandoreiro также способны похищать учетные данные, хранящиеся в Google Chrome и Microsoft Outlook.
В отличие от других банковских троянов, Grandoreiro использует довольно небольшие сети для распространения. Для различных кампаний выбираются разные типы загрузчиков, которые нередко хранятся в известных публичных сервисах, таких как GitHub, Dropbox, Pastebin, 4shared или 4Sync.
Исследователи отмечают, что банкер по-прежнему ориентирован в первую очередь на пользователей из латиноамериканских стран: Бразилии, Мексики, Испании и Перу.