Regla IOC: Troyano Bancario Grandoreiro

Últimas Amenazas

mayo 06, 2020

2 min de lectura

Regla IOC: Troyano Bancario Grandoreiro

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Un artículo recientemente publicado «SIGMA vs Indicadores de Compromiso» por Adam Swan, nuestro Ingeniero Senior en Caza de Amenazas, demuestra los beneficios de las reglas Sigma para caza de amenazas sobre el contenido basado en IOCs. Aunque no podemos descartar las reglas Sigma de IOC, ya que pueden ayudar a identificar un compromiso, además, no todos los adversarios rápidamente hacen cambios en su malware, y por lo tanto, tales reglas pueden detectar una amenaza durante un largo tiempo. Hoy miramos una de estas reglas – el troyano bancario Grandoreiro por Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro es uno de muchos troyanos bancarios utilizados contra objetivos en América Latina. La primera mención de este malware apareció en 2017 cuando los atacantes lo distribuían solo en Perú y Brasil, pero pronto los cibercriminales expandieron la geografía de ataques, añadiendo a España y México a la lista de objetivos. El troyano Grandoreiro se distribuye mediante correos spam que contienen un enlace a un sitio web que ofrece falsas actualizaciones de Java o Flash. Desde el comienzo de la pandemia, los atacantes han estado utilizando activamente el miedo en torno a COVID-19 en sus campañas.

 

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Ejecución, Escalada de Privilegios, Evasión de Defensa, Persistencia

Técnicas: Ejecución a través de carga de módulo (T1129), Inyección de procesos (T1055), Claves de ejecución en registro / Carpeta de inicio (T1060)

 

El troyano abusa de MsiExec.exe y ofrecemos varias reglas para detectar tal comportamiento:

Directorio sospechoso de MsiExec por Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

Instalación web de MsiExec por Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) por Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Bypass de Msiexec.exe y Mavinject.exe (LolBins) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Manipulación de Msiexec para establecer comunicación con un servidor c2 por Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko