Erkennungsinhalte: Grandoreiro Banking Trojaner

Lateinamerikanische Bankentrojaner sind dabei, einen eigenen Trend in der Schadsoftware-Entwicklung zu setzen. Angreifer erstellen regelmäßig neue Trojaner or Exploit-Kits , um Bankbenutzer in Brasilien, Mexiko und Peru anzugreifen, und mit jeder neuen bösartigen Kampagne erweitern sie ihre Ziellisten zunächst auf Nachbarländer und dann auf weltweite Kampagnen. In unserem kürzlich veröffentlichten Regel-Digest haben wir eine Regel beobachtet, um einen dieser namenlosen Trojaner zu erkennen. Und heute ist eine Kampagne zur Verbreitung der Grandoreiro-Malware in unseren Fokus gerückt.

Grandoreiro ist ein in Delphi geschriebener Bankentrojaner, der mindestens seit 2017 aktiv ist und Brasilien und Peru angreift, 2019 nach Mexiko und Spanien expandierte und nun nach Portugal ausweitet. Ende letzten Monats haben Forscher eine Spam-Kampagne entdeckt , die darauf abzielt, einen aktualisierten Grandoreiro-Bankentrojaner an Benutzer in den oben genannten Ländern auszuliefern. Die aktualisierte Malware umfasst Verbesserungen in der Art und Weise, wie sie arbeitet. Die Bedrohung wird wie in der Vergangenheit über Malspam-Kampagnen verbreitet, und der Name des Opfers wird als Teil des Namens des bösartigen Anhangs verwendet. Grandoreiro verfügt über Backdoor-Funktionalitäten und kann Fenster manipulieren, Tastenanschläge erfassen, Maus- und Tastaturaktionen simulieren und den Browser des Opfers zu einer gewählten URL navigieren.

New Den Iuzviks Gemeinschaftsregel kann den Grandoreiro-Bankentrojaner aufdecken, wenn er versucht, die Schutzsoftware für den Bankzugang zu deaktivieren: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Verteidigungsevasion

Techniken: Datei- und Verzeichnisberechtigungen ändern (T1222)