탐지 콘텐츠: Grandoreiro 뱅킹 트로이 목마

라틴 아메리카 은행 트로이 목마는 악성코드 작성에서 별도의 경향을 만들려고 하고 있습니다. 공격자들은 정기적으로 새로운 트로이 목마 or 익스플로잇 키트 를 브라질, 멕시코, 페루의 은행 사용자들을 공격하기 위해 만들어, 각 새로운 악성 캠페인으로 타겟 리스트를 이웃 국가로 확장한 뒤, 전 세계 캠페인으로 확장하고 있습니다. 최근에 발표된 규칙 요약에서 우리는 규칙 을 이러한 이름 없는 트로이 목마 중 하나를 탐지하는 것을 관찰했습니다. 오늘날, Grandoreiro 악성코드를 퍼뜨리는 캠페인이 우리의 주목을 받았습니다.

Grandoreiro는 델파이로 작성된 은행 트로이 목마로 최소 2017년 이래로 브라질과 페루를 타겟으로 활동했으며, 2019년에는 멕시코와 스페인으로 확장했고 이제 포르투갈까지 확장되었습니다. 지난달 말, 연구자들은 발견했습니다 위에서 언급한 국가들에 업데이트된 Grandoreiro 은행 트로이 목마를 전달하려는 스팸 캠페인을 발견했습니다. 업데이트된 악성코드는 운영 방식에서 개선점을 포함하고 있습니다. 위협은 과거와 마찬가지로 멀스팸 캠페인으로 퍼지고 있으며, 피해자의 이름이 악성 첨부 파일 이름의 일부로 사용됩니다. Grandoreiro는 백도어 기능이 있으며, 창을 조작하고, 키 입력을 캡처하고, 마우스와 키보드 동작을 시뮬레이트하며, 피해자의 브라우저를 선택한 URL로 이동시킬 수 있습니다.

New Den Iuzvik의 커뮤니티 규칙은 은행 접근 보호 소프트웨어를 비활성화하려고 시도할 때 Grandoreiro 은행 트로이 목마를 발견할 수 있습니다: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1

규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 방어 회피

기법: 파일 및 디렉터리 권한 수정 (T1222)