Аналитики «Лаборатории Касперского» обнаружили, что банковский троян Grandoreiro активен, невзирая на то, что январе 2024 года правоохранители заявляли о пресечении его деятельности и арестах участников группировки. Сообщается, что новая версия трояна нацелена на клиентов примерно 30 мексиканских банков.
Считается, что Grandoreiro активен как минимум с 2016 года и в настоящее время является одним из наиболее распространенных банковских троянов в мире. При этом правоохранители борются с банкером уже много лет. Так, в начале текущего года правоохранительные органы провели международную операцию, в которой принимали участие Бразилия, Испания, представители Интерпола, а такие компании ESET и Caixa Bank. Тогда сообщалось о пресечении деятельности малвари и арестах участников хак-группы.
Как показало время, арестовать удалось далеко не всех участников хак-группы, стоящей за Grandoreiro: оставшиеся операторы продолжили атаковать пользователей по всему миру, разрабатывая новые версии малвари и создавая новую инфраструктуру. Предполагается, что злоумышленники могли иметь доступ к исходному коду и теперь запускают новые кампании, используя упрощенную версию первоначального кода Grandoreiro.
«После арестов некоторых операторов Grandoreiro разделил свою кодовую базу на более легкие версии, атакующие меньшее количество целей. Эти фрагментированные версии трояна стали реакцией на недавние операции правоохранительных органов. Это открытие подтверждается существованием двух разных кодовых баз, которые использовались одновременно: новые образцы [Grandoreiro], содержащие обновленный код, и старые образцы, основанные на старой кодовой базе, которые теперь нацелены только на клиентов примерно 30 банков в Мексике», — рассказывают исследователи.
Изучение новых образцов обычной, не облегченной версии троян выявило новые тактики злоумышленников. Так, теперь банкер записывает и потом воспроизводит активность мыши, имитируя реальные клики, чтобы избежать обнаружения системами безопасности, которые анализируют поведение пользователей.
Кроме того, Grandoreiro использует криптографическую технику, известную как Ciphertext Stealing (CTS), которая ранее не встречалась в изученных образцах. Эта техника позволяет зашифровать строки вредоносного кода, тем самым усложняя обнаружение угрозы.
В своем отчете специалисты подчеркивают, что Grandoreiro по-прежнему остается одной из наиболее активных глобальных угроз. На Grandoreiro пришлось около 5% от всех атак банковских троянов, причем большая их часть зафиксирована в Мексике (51 000 инцидентов, в том числе с использованием новой версии малвари).
Суммарно в 2024 году разные версии троян были нацелены на пользователей более 1700 финансовых институтов и 276 криптовалютных кошельков в 45 странах мира.