Contenuto di Rilevamento: Trojan Bancario Grandoreiro

I trojan bancari dell’America Latina stanno per diventare una tendenza separata nella scrittura di malware. Gli avversari creano regolarmente nuovi Trojan or Exploit Kits per attaccare gli utenti bancari in Brasile, Messico e Perù, e con ogni nuova campagna malevola espandono le loro liste di bersagli prima ai paesi vicini, e poi a campagne mondiali. Nel nostro recentemente pubblicato Rule Digest, abbiamo osservato una regola per rilevare uno di questi trojan senza nome. E oggi, una campagna che diffonde la variante malware Grandoreiro è entrata nella nostra vista.

Grandoreiro è un trojan bancario scritto in Delphi che è attivo almeno dal 2017 mirato al Brasile e al Perù, espandendosi in Messico e Spagna nel 2019, e ora estendendosi al Portogallo. Alla fine del mese scorso, i ricercatori hanno scoperto una campagna di spam mirata a distribuire un trojan bancario Grandoreiro aggiornato agli utenti nei paesi sopra menzionati. Il malware aggiornato include miglioramenti nel modo in cui opera. La minaccia è stata diffusa tramite campagne malspam, come in passato, e il nome della vittima è usato come parte del nome dell’allegato malevolo. Grandoreiro ha funzionalità di backdoor e può manipolare finestre, catturare sequenze di tasti, simulare azioni di mouse e tastiera, e navigare il browser della vittima verso un URL scelto.

New La regola della comunità di Den Iuzvikpuò rilevare il trojan bancario Grandoreiro quando tenta di disabilitare il software di protezione di accesso bancario: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Evasione del Sistema di Difesa

Tecniche: Modifica delle autorizzazioni di file e directory (T1222)