Erkennung der Grandoreiro-Banking-Malware
Inhaltsverzeichnis:
Banking-Malware ist seit langem eine bewährte Einnahmequelle für Gegner. Eines der effizienten Werkzeuge in Malware-Verteilungskampagnen, die den Bankensektor ins Visier nehmen, ist ein Remote-Overlay-Banking-Trojaner Grandoreiro. Der Trojaner wurde erstmals 2016 entdeckt (einige Forscher behaupten jedoch, die Malware sei erstmals 2017 aufgetaucht) und wurde gegen Ziele in Lateinamerika eingesetzt. In der neuesten Kampagne wurde Grandoreiro beim Versand über steuerbezogene Phishing-E-Mails gesichtet; derselbe Angriffsvektor wurde auch in früheren Kampagnen genutzt. Die Hacker hinter Grandoreiro haben es auf Opfer in Brasilien, Spanien und Mexiko abgesehen.
Grandoreiro Banking-Malware erkennen
Um Organisationen besser bei der Sicherung ihrer Infrastruktur zu unterstützen, haben unsere engagierten Threat Bounty-Entwickler Furkan Celik and Nattatorn Chuensangarun kürzlich spezielle Sigma-Regeln veröffentlicht, die eine schnelle Erkennung von Grandoreiro-Malware ermöglichen. Registrierte Benutzer können diese Regeln von der Detection as Code-Plattform von SOC Prime herunterladen:
Erkennen der Persistenz des Grandoreiro Banking-Trojaners über registry_event)
Mögliche Grandoreiro Banking-Malware nutzt Steuerzeit aus (via file_event)
Wenn Sie neu auf der Plattform sind, durchsuchen Sie eine umfangreiche Sammlung von Sigma-Regeln mit relevantem Bedrohungskontext, CTI- und MITRE ATT&CK-Referenzen, CVE-Beschreibungen und erhalten Sie Updates zu Trends im Bedrohungsjagen. Keine Registrierung erforderlich!
Ein umfassendes Repository für Erkennungsinhalte, kompatibel mit allen führenden SIEM-, EDR- und XDR-Lösungen, zur Stärkung der Basis für Sicherheitsüberwachung ist nach der Registrierung auf der SOC Prime-Plattform zugänglich, um auf den Threat Detection Marketplace zuzugreifen. Drücken Sie die Anzeigen von Erkennungen -Taste, um die vollständige Sammlung von Sigma-Regeln zu durchsuchen, die der Erkennung von Grandoreiro-Malware gewidmet sind. SOC Prime bietet erfahrenen Bedrohungsjägern die Möglichkeit, ihre Sigma- und YARA-Regeln mit einer großen Gemeinschaft von Sicherheitsexperten zu teilen, Unterstützung und Anerkennung von Fachkollegen zu erhalten und daraus eine wertvolle Einnahmequelle zu machen.
Anzeigen von Erkennungen Threat Bounty beitreten
Grandoreiro-Malware-Kampagne
Grandoreiro ist ein in Delphi geschriebener Trojaner , der dazu entwickelt wurde, seinen Betreibern die Übernahme von Zielgeräten zu ermöglichen. Das Hauptziel besteht darin, eine betrügerische Geldüberweisung vom Konto des Ziels auszulösen. Einmal im System wird Grandoreiro für Keylogging, Datendiebstahl und das Überwachen der Operationen des Opfers auf Websites oder Anwendungen des Internetbankings eingesetzt.
The Trustwave SpiderLabs hat die neueste Kampagne detailliert beschrieben, die Mitte des Frühlings 2022 gestartet wurde. Laut den Forschungsdaten zielen die Angreifer auf Bankkunden ab und liefern die Malware über Spam-Kampagnen – der Angriffsvektor hat sich seit den ersten dokumentierten Verbreitungen dieser Malware-Bedrohung nicht geändert. Das Opfer erhält einen Phishing-Köder – eine E-Mail auf Portugiesisch, wobei die Angreifer einen legitimen Steuerverwaltungsdienst imitieren. Ein gefälschtes Memo enthält eine URL, die eine präparierte PDF-Datei abruft. Wenn das Ziel den Köder schluckt und das bösartige PDF öffnet, das angeblich von DocuSign stammt, besteht die Möglichkeit, dass es ein ZIP-Archiv herunterlädt, das einen MSI-Installer enthält. Der Installer lädt eine finale Nutzlast herunter und greift die Ziele mit IPs nur in den genannten lateinamerikanischen Ländern an.
Die Analyse von Grandoreiro zeigt, dass Gegner den Trojaner jedes Jahr in Lateinamerika verwenden, um von der Steuerzeit zu profitieren.
Sicherheitsleiter können die Compliance, das Risikomanagement sowie Überwachungs- und Erkennungsfähigkeiten mit SOC Prime verbessern, um sicherzustellen, dass ihr System nicht schutzlos gegenüber Hackern ist.
