Банковский троян вернулся ещё сильнее после поражения от правоохранителей

Эксперты IBM X-Force сообщили о возобновлении активности банковского трояна Grandoreiro с марта 2024 года. Вредонос теперь продаётся по подписке и нацелен на 1 500 кредитных организаций в 60 странах мира.

Банкер Grandoreiro известен с 2017 года, с его помощью хакеры проводили атаки на пользователей из испаноязычных стран и нанесли ущерб на сумму более $120 миллионов. Однако, в январе 2024 года правоохранительные органы Бразилии и Испании совместно с Интерполом и компаниями ESET и Caixa Bank смогли пресечь деятельность малвари. В Бразилии были задержаны 5 причастных к разработке трояна и прошли несколько десятков обысков, но никаких конкретных сведениях о задержанных предоставлено не было.

Спустя всего 4 месяца банковский троян вернулся в обновлённой версии – больше механизмов для обхода защиты, расширенный перечень атакуемых банков и новые функции, включая кражу криптовалют, кейлогинг и действия с браузерами.

Эксперты отмечают, что вредонос распространяется по модели Malware-as-a-Service («Малварь-как-услуга»), то есть различные преступные группировки могут использовать его в своих атаках за фиксированную плату или процент от украденного. Этим объясняется расширения списка целей, который теперь включает 1 500 организаций в 60 странах мира. Начальным вектором атак являются фишинговые письма, хотя детали зависят от группировка, которая использует вредоносно ПО.

После анализа малвари, специалисты выяснили, что банкер теперь проверяет устройство жертвы и не загружает полезную нагрузку, если имеются «триггеры». Исходя из данных экспертов, пользователей из России, Чехии, Нидерландов и Польши троян атаковать не будет. Однако, может появится группировка, которая решит обойти этот запрет.