Восставший из мертвых: Grandoreiro терроризирует банки Мексики

«Лаборатория Касперского»: троян научился имитировать человека.


mw0gufy879es83nhboi62mu8gbjjcc8n.jpg


Троянская программа Grandoreiro, активная с 2016 года, продолжает использоваться партнёрами кибергруппы, несмотря на аресты её ключевых участников в начале 2024 года. Согласно данным «Лаборатории Касперского», новая версия этого вредоносного ПО нацелена на клиентов около 30 мексиканских банков, что делает Мексику одной из наиболее пострадавших стран от атак с использованием Grandoreiro.

После совместной операции с Интерполом в Бразилии, приведшей к арестам, эксперты «Лаборатории Касперского» выявили, что атаки продолжаются. Вредоносный код был переработан, и его разделили на более мелкие части, что свидетельствует о том, что злоумышленники, вероятно, всё ещё имеют доступ к исходным материалам программы. Это позволило им запускать новые кампании с упрощёнными версиями Grandoreiro.

Кроме упрощённых версий, специалисты компании также выявили новые методы, применяемые в оригинальной версии троянца. Вредонос записывает и воспроизводит действия мыши, имитируя реальное поведение пользователя, что позволяет ему обходить системы защиты, которые анализируют поведенческие аномалии. Этот метод затрудняет обнаружение программы. Также Grandoreiro использует криптографическую технику Ciphertext Stealing (CTS), которая шифрует строки кода и значительно усложняет его выявление. Ранее такая техника не встречалась в подобных вредоносных программах.

Атаки Grandoreiro продолжают оставаться серьёзной глобальной угрозой. В 2024 году около 5% всех атак банковских троянцев были связаны с этим вредоносом, при этом значительная часть инцидентов зафиксирована в Мексике, где пострадали более 51 тысячи пользователей. Всего в этом году различные версии Grandoreiro нацелены на клиентов более 1700 финансовых учреждений и 276 криптовалютных кошельков в 45 странах.