グランドレイロ バンキングマルウェアの検出

バンキングマルウェア は、長い間、敵にとって確かなキャッシュカウとして働いています。銀行業界を狙うマルウェア配信キャンペーンで使用される効率的なツールの一つが、リモートオーバーレイ型のバンキングトロイの木馬 Grandoreiroです。このトロイの木馬は2016年に初めて検出されました（一部の研究者は2017年に初出と主張していますが）、ラテンアメリカのターゲットに対して使用されました。最新のキャンペーンでは、Grandoreiroが税に関するフィッシングメールを通じて広がっていることが確認され、以前のキャンペーンと同様の攻撃手法が用いられています。Grandoreiroの背後にいるハッカーは、ブラジル、スペイン、メキシコの被害者を狙いました。

Grandoreiroバンキングマルウェアを検出する

組織がインフラをより適切に防御するために、我々の熟練したThreat Bounty開発陣である Furkan Celik and Nattatorn Chuensangarun が最近、迅速なGrandoreiroマルウェア検出を可能にする専用のSigmaルールをリリースしました。登録ユーザーはこれらのルールをSOC PrimeのDetection as Codeプラットフォームからダウンロードできます。

Grandoreiroバンキングトロイの持続性をレジストリエベントで検出する

Grandoreiroバンキングマルウェアが税シーズンを悪用する可能性（ファイルイベントを通じて）

プラットフォームに新しく参加した場合、関連した脅威コンテキスト、CTIとMITRE ATT&CKの参照、CVEの説明、そして脅威ハンティングのトレンドに関する更新を備えた膨大な Sigmaルール のコレクションをご覧ください。登録は必要ありません！

すべての業界リーダーSIEM、EDR、XDRソリューションと互換性のある検出コンテンツの充実したリポジトリは、Threat Detection MarketplaceにアクセスするためにSOC Primeプラットフォームへの登録後に利用可能になります。「 検出を表示 」ボタンを押して、Grandoreiroマルウェアの検出に特化したSigmaルールの完全なコレクションにアクセスしてください。SOC Primeは熟練した脅威ハンターに、SigmaおよびYARAルールを広範なセキュリティ専門家のコミュニティと共有し、サポートや承認を得て、価値ある収益源にする機会を提供します。

検出を表示 Threat Bountyに参加する

Grandoreiroマルウェアキャンペーン

Grandoreiroは、 Delphiで書かれたトロイの木馬 で、その操作者がターゲットデバイスを乗っ取ることを可能にするよう設計されています。主な目的は、ターゲットの口座から不正な送金を開始することです。一旦システムに入り込むと、Grandoreiroはキーロギング、データの盗難、そしてインターネットバンキングのウェブサイトやアプリケーションでの被害者の操作を監視するために使用されます。

The Trustwave SpiderLabs は、2022年の春半ばに開始された最新のキャンペーンを詳述しました。研究データによると、敵はスパムキャンペーンを通じて銀行の顧客にマルウェアを配信し、攻撃手法はこのマルウェア脅威の最初の文書化された配布以来変わっていません。被害者は、ポルトガル語のフィッシングの誘いを受け取り、敵はこれを正当な税務管理サービスになりすましています。偽のメモには、武器化されたPDFファイルを取得するURLが含まれています。ターゲットがその誘いに乗ってDocuSignから来たとされる悪意のあるPDFを開くと、MSIインストーラーを含むZIPファイルをダウンロードすることになる可能性があります。このインストーラーは最終ペイロードをダウンロードし、前述のラテン諸国のIPに対して攻撃を仕掛けます。

Grandoreiroの分析は、敵が毎年ラテンアメリカでこのトロイの木馬を使用し、税のシーズンを狙って利益を得ようとしていることを示しています。

セキュリティリーダーは、 SOC Prime を使用して、コンプライアンス、リスク管理、そして監視と検出の能力を改善することで、システムがハッカーにとって無防備な状態にならないようにすることができます。