Detección de malware bancario Grandoreiro
Tabla de contenidos:
Malware bancario ha sido una fuente de ingresos comprobada para los adversarios desde hace mucho tiempo. Una de las herramientas eficientes en campañas de distribución de malware que apuntan al sector bancario es un troyano bancario de superposición remota Grandoreiro. El troyano fue detectado por primera vez en 2016 (sin embargo, algunos investigadores afirman que el malware apareció por primera vez en 2017), siendo usado contra objetivos en América Latina. En la última campaña, se observó que Grandoreiro se propagaba a través de correos electrónicos de phishing con temática fiscal, utilizando el mismo vector de ataque que en campañas anteriores. Los hackers detrás de Grandoreiro apuntaron a víctimas en Brasil, España y México.
Detectar Malware Bancario Grandoreiro
Para ayudar a las organizaciones a proteger mejor su infraestructura, nuestros desarrolladores expertos en recompensas de amenazas Furkan Celik and Nattatorn Chuensangarun han lanzado recientemente las reglas Sigma dedicadas que permiten la rápida detección del malware Grandoreiro. Los usuarios registrados pueden descargar estas reglas desde la plataforma Detection as Code de SOC Prime:
Detectar Persistencia Del Troyano Bancario Grandoreiro a través de registry_event)
Si eres nuevo en la plataforma, explora una vasta colección de reglas Sigma con contexto relevante de amenazas, referencias CTI y MITRE ATT&CK, descripciones CVE, y recibe actualizaciones sobre las tendencias de caza de amenazas. ¡No se requiere registro!
Un repositorio exhaustivo de contenido de detección compatible con todas las soluciones líderes de la industria SIEM, EDR y XDR para fortalecer la base para la monitorización de seguridad está accesible tras registrarse en la plataforma SOC Prime para acceder al Threat Detection Marketplace. Presiona el botón Ver Detecciones para acceder a la colección completa de reglas Sigma dedicadas a la detección del malware Grandoreiro. SOC Prime proporciona oportunidades a los cazadores de amenazas competentes para compartir sus reglas Sigma y YARA con una vasta comunidad de profesionales de seguridad, recibir apoyo y reconocimiento de otros profesionales, y convertirlo en una valiosa fuente de ingresos.
Ver Detecciones Unirse a la Recompensa de Amenazas
Campaña de Malware Grandoreiro
Grandoreiro es un troyano escrito en Delphi diseñado para permitir a sus operadores tomar el control de los dispositivos objetivo. El objetivo principal es iniciar una transferencia de dinero fraudulenta desde la cuenta del objetivo. Una vez en el sistema, Grandoreiro se utiliza para registrar teclas, robar datos y monitorear las operaciones de la víctima en sitios web o aplicaciones de banca en línea.
The Trustwave SpiderLabs detalló la última campaña lanzada a mediados de primavera de 2022. Según los datos de investigación, los adversarios apuntan a clientes bancarios entregando el malware a través de campañas de spam: el vector de ataque no ha cambiado desde las primeras distribuciones documentadas de esta amenaza de malware. La víctima recibe un señuelo de phishing, un correo electrónico en portugués, con los adversarios detrás de él imitando al legítimo Servicio de Administración Tributaria. Un memo falso incluye una URL que descarga un archivo PDF armado. Si el objetivo cae en el anzuelo y abre el PDF malicioso que afirma provenir de DocuSign, es probable que termine descargando un archivo ZIP que contiene un instalador MSI. El instalador descarga una carga final, atacando objetivos solo con IPs en los mencionados países latinos.
El análisis de Grandoreiro muestra que los adversarios utilizan el troyano cada año en América Latina, apuntando a capitalizar en la temporada de impuestos.
Los líderes de seguridad pueden mejorar el cumplimiento, la gestión de riesgos y las capacidades de monitoreo y detección con SOC Prime para asegurar que su sistema no sea un blanco fácil para los hackers.
