Contenido de Detección: Troyano Bancario Grandoreiro

Los troyanos bancarios de América Latina están a punto de crear una tendencia separada en la escritura de malware. Los adversarios crean regularmente nuevos troyanos or Kits de Explotación para atacar a los usuarios bancarios en Brasil, México y Perú, y con cada nueva campaña maliciosa expansionan sus listas de objetivos primero a países vecinos, y luego a campañas a nivel mundial. En nuestro recientemente publicado Rule Digest, observamos una regla para detectar uno de estos troyanos sin nombre. Y hoy, una campaña que difunde la cepa de malware Grandoreiro ha llegado a nuestra vista.

Grandoreiro es un troyano bancario escrito en Delphi que ha estado activo al menos desde 2017, apuntando a Brasil y Perú, expandiéndose a México y España en 2019, y ahora extendiéndose a Portugal. Al final del mes pasado, los investigadores descubrieron una campaña de spam dirigida a entregar un troyano bancario Grandoreiro actualizado a usuarios en los países mencionados. El malware actualizado incluye mejoras en su modo de operación. La amenaza se ha difundido a través de campañas de malspam, como en el pasado, y el nombre de la víctima se utiliza como parte del nombre del adjunto malicioso. Grandoreiro tiene funcionalidad de puerta trasera y puede manipular ventanas, capturar pulsaciones de teclas, simular acciones del ratón y teclado, y navegar el navegador de la víctima a una URL elegida.

New Den Iuzvikla regla comunitaria de puede descubrir el troyano bancario Grandoreiro cuando intenta desactivar el software de protección de acceso bancario: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Evasión de Defensa

Técnicas: Modificación de Permisos de Archivos y Directorios (T1222)