ラテンアメリカの銀行トロイの木馬は、マルウェア作成において独自のトレンドを形成しようとしています。攻撃者は定期的に新しい トロイの木馬 or エクスプロイトキット をブラジル、メキシコ、ペルーの銀行利用者を攻撃するために使用し、各新しい悪意のあるキャンペーンで、まず近隣諸国、その後世界的なキャンペーンに対象リストを拡大しています。最近発表されたレジュールダイジェストでは、 ルール がこれら匿名のトロイの木馬のひとつを検出するために観察されました。そして今日、Grandoreiroマルウェアストレインを広めるキャンペーンが私たちの目に止まりました。
GrandoreiroはDelphiで書かれた銀行トロイの木馬で、少なくとも2017年からブラジルとペルーを標的に活動しており、2019年にはメキシコとスペインに拡大し、現在ポルトガルにも拡大しています。先月末に研究者らが 発見した のは、上記の国々のユーザーに更新されたGrandoreiro銀行トロイの木馬を届けることを目的としたスパムキャンペーンです。更新されたマルウェアには、その動作方法における改善が含まれています。この脅威は、これまでと同様にマルスパムキャンペーンを通じて広まっており、被害者の名前が悪質な添付ファイル名の一部として使用されています。Grandoreiroにはバックドア機能があり、ウィンドウを操作したり、キーストロークをキャプチャしたり、マウスとキーボードのアクションをシミュレートしたり、被害者のブラウザを指定したURLに誘導することが可能です。
New Den Iuzvikのコミュニティルールは、Grandoreiro銀行トロイの木馬が銀行アクセス保護ソフトウェアを無効化しようとする時に検出することができます: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1
ルールは次のプラットフォーム用に翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 防御の回避
技術: ファイルおよびディレクトリの権限修正 (T1222)
