Détection du Malware Bancaire Grandoreiro

[post-views]
juin 01, 2022 · 4 min de lecture
Détection du Malware Bancaire Grandoreiro

Malware bancaire a été une véritable vache à lait éprouvée pour les adversaires depuis longtemps. L’un de ces outils efficaces dans les campagnes de distribution de malwares qui ciblent le secteur bancaire est un cheval de Troie bancaire avec superposition à distance Grandoreiro. Le trojan a été détecté pour la première fois en 2016 (cependant, certains chercheurs affirment que le malware est apparu pour la première fois en 2017), étant utilisé contre des cibles en Amérique latine. Dans la dernière campagne, Grandoreiro a été repéré se propageant via des e-mails de phishing à thème fiscal, utilisant le même vecteur d’attaque que dans les campagnes précédentes. Les hackers derrière Grandoreiro ont ciblé des victimes au Brésil, en Espagne et au Mexique.

Détecter le malware bancaire Grandoreiro

Pour aider les organisations à mieux protéger leur infrastructure, nos développeurs avertis de Threat Bounty Furkan Celik and Nattatorn Chuensangarun ont récemment publié les règles Sigma dédiées qui permettent une détection rapide du malware Grandoreiro. Les utilisateurs enregistrés peuvent télécharger ces règles depuis la plateforme Detection as Code de SOC Prime :

Détecter la persistance du cheval de Troie bancaire Grandoreiro via registry_event)

Possibles exploits de malware bancaire Grandoreiro durant la saison fiscale (via file_event)

Si vous êtes nouveau sur la plateforme, parcourez une vaste collection de règles Sigma avec un contexte de menace pertinent, des références CTI et MITRE ATT&CK, des descriptions CVE, et recevez des mises à jour sur les tendances de la chasse aux menaces. Aucune inscription n’est requise !

Un référentiel exhaustif de contenus de détection compatibles avec toutes les solutions SIEM, EDR et XDR de premier plan est accessible après inscription à la plateforme SOC Prime pour accéder au Threat Detection Marketplace. Appuyez sur le Voir les Détections bouton pour accéder à la collection complète de règles Sigma dédiées à la détection du malware Grandoreiro. SOC Prime offre aux chasseurs de menaces qualifiés la possibilité de partager leurs règles Sigma et YARA avec une vaste communauté de praticiens de la sécurité, de recevoir du soutien et de la reconnaissance de la part de collègues professionnels, et d’en faire une source de revenus précieuse.

Voir les Détections Rejoindre Threat Bounty

Campagne de malware Grandoreiro

Grandoreiro est un trojan écrit en Delphi conçu pour permettre à ses opérateurs de prendre le contrôle des appareils ciblés. L’objectif principal est d’initier un transfert d’argent frauduleux depuis le compte de la cible. Une fois dans le système, Grandoreiro est utilisé pour enregistrer les frappes de clavier, voler des données et surveiller les opérations de la victime sur les sites ou applications de banque en ligne.

The Trustwave SpiderLabs a détaillé la dernière campagne lancée à la mi-printemps 2022. Selon les données de recherche, les adversaires ciblent les clients bancaires en diffusant le malware via des campagnes de spam – le vecteur d’attaque n’a pas changé depuis les premières distributions documentées de cette menace de malware. La victime reçoit un appât de phishing – un email en portugais, avec les adversaires derrière simulant le Service d’administration fiscale légitime. Un faux mémo contient une URL qui récupère un fichier PDF armé. Si la cible mord à l’hameçon et ouvre le PDF malveillant qui prétend provenir de DocuSign, il y a des chances qu’elle finisse par télécharger un fichier ZIP contenant un installateur MSI. L’installateur télécharge une charge utile finale, frappant les cibles avec des IP uniquement dans les pays latins mentionnés ci-dessus.

L’analyse de Grandoreiro montre que les adversaires utilisent le trojan chaque année en Amérique latine, visant à capitaliser sur la saison fiscale.

Les responsables de la sécurité peuvent améliorer la conformité, la gestion des risques, et les capacités de surveillance et de détection avec SOC Prime pour s’assurer que leur système n’est pas une cible facile pour les hackers.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.