Rilevamento del malware bancario Grandoreiro
Indice:
Malware bancario è stata una vera e propria miniera d’oro per gli avversari per molto tempo. Uno degli strumenti efficienti nelle campagne di distribuzione di malware che prendono di mira il settore bancario è un trojan bancario con overlay remoto Grandoreiro. Il trojan è stato rilevato per la prima volta nel 2016 (tuttavia, alcuni ricercatori sostengono che il malware sia emerso per la prima volta nel 2017), essendo utilizzato contro obiettivi in America Latina. Nell’ultima campagna, Grandoreiro è stato individuato diffondersi tramite email di phishing a tema fiscale, utilizzando lo stesso vettore di attacco delle campagne precedenti. Gli hacker dietro Grandoreiro hanno preso di mira vittime in Brasile, Spagna e Messico.
Rileva Malware Bancario Grandoreiro
Per aiutare le organizzazioni a proteggere meglio la loro infrastruttura, i nostri abili sviluppatori di Threat Bounty Furkan Celik and Nattatorn Chuensangarun hanno recentemente rilasciato le regole Sigma dedicate che consentono una rapida rilevazione del malware Grandoreiro. Gli utenti registrati possono scaricare queste regole dalla piattaforma Detection as Code di SOC Prime:
Rileva la Persistenza del Trojan Bancario Grandoreiro tramite registry_event)
Possibili Sfruttamenti di Malware Bancario Grandoreiro nella Stagione Fiscale (via file_event)
Se sei nuovo sulla piattaforma, sfoglia una vasta collezione di regole Sigma con il contesto della minaccia pertinente, riferimenti CTI e MITRE ATT&CK, descrizioni CVE, e ottieni aggiornamenti sulle tendenze di threat hunting. Non è richiesta la registrazione!
Un esauriente archivio di contenuti di rilevazione compatibili con tutte le soluzioni SIEM, EDR e XDR leader del settore per rafforzare la base del monitoraggio della sicurezza è accessibile previa registrazione alla piattaforma SOC Prime per accedere al Threat Detection Marketplace. Premi il Visualizza Rilevamenti per accedere alla collezione completa di regole Sigma dedicate alla rilevazione del malware Grandoreiro. SOC Prime offre ai cacciatori di minacce qualificati l’opportunità di condividere le loro regole Sigma e YARA con una vasta comunità di operatori di sicurezza, ottenere supporto e riconoscimento dai colleghi professionisti, e renderlo un flusso di entrate prezioso.
Visualizza Rilevamenti Unisciti a Threat Bounty
Campagna di Malware Grandoreiro
Grandoreiro è un trojan scritto in Delphi progettato per consentire ai suoi operatori di prendere il controllo dei dispositivi mirati. L’obiettivo principale è avviare un trasferimento di denaro fraudolento dal conto della vittima. Una volta nel sistema, Grandoreiro viene utilizzato per il keylogging, il furto di dati e il monitoraggio delle operazioni della vittima su siti web o applicazioni di internet banking.
The Trustwave SpiderLabs ha dettagliato l’ultima campagna lanciata a metà primavera del 2022. Secondo i dati della ricerca, gli avversari prendono di mira i clienti delle banche consegnando il malware tramite campagne di spam – il vettore di attacco non è cambiato dalle prime distribuzioni documentate di questa minaccia malware. La vittima riceve un’esca di phishing – una email in portoghese, con gli avversari dietro che imitano il legittimo Servizio di Amministrazione Fiscale. Un falso promemoria include un URL che recupera un file PDF armato. Se il bersaglio abbocca e apre il PDF dannoso che pretende di provenire da DocuSign, ci sono possibilità che finisca per scaricare un file ZIP contenente un installer MSI. L’installer scarica un payload finale, colpendo i bersagli con IP solo nei paesi latini sopra menzionati.
L’analisi di Grandoreiro mostra che gli avversari usano il trojan ogni anno in America Latina, mirando a capitalizzare sulla stagione fiscale.
I leader della sicurezza possono migliorare la conformità , la gestione del rischio, e le capacità di monitoraggio e rilevazione con SOC Prime per garantire che il loro sistema non sia un bersaglio facile per gli hacker.
