Grandoreiro 은행 맬웨어 탐지

뱅킹 멀웨어 는 오랫동안 적들에게 검증받은 수익원으로 사용되어 왔습니다. 뱅킹 부문을 목표로 한 멀웨어 배포 캠페인에서 효과적인 도구 중 하나는 원격-오버레이 뱅킹 트로이목마 Grandoreiro입니다. 이 트로이목마는 처음 2016년에 감지되었고 (일부 연구자들은 2017년 처음 등장했다고 주장합니다), 라틴 아메리카의 목표물을 대상으로 사용되었습니다. 최신 캠페인에서 Grandoreiro는 세금 테마의 피싱 이메일을 통해 전파되는 것으로 포착되었으며, 이전 캠페인과 동일한 공격 벡터를 사용하고 있습니다. Grandoreiro의 배후 해커들은 브라질, 스페인, 멕시코의 피해자를 대상으로 하였습니다.

Grandoreiro 뱅킹 멀웨어 탐지

조직이 인프라를 더 잘 보호할 수 있도록 돕기 위해, 우리의 날카로운 Threat Bounty 개발자 Furkan Celik and Nattatorn Chuensangarun 은 최근 Grandoreiro 멀웨어 탐지를 신속하게 할 수 있는 전용 Sigma 규칙을 출시했습니다. 등록된 사용자는 SOC Prime의 Detection as Code 플랫폼에서 이러한 규칙을 다운로드할 수 있습니다:

레지스트리 이벤트를 통한 Grandoreiro 뱅킹 트로이목마의 지속성 탐지

파일 이벤트를 통해 Grandoreiro 뱅킹 멀웨어가 세금 시즌을 악용할 가능성 있음

플랫폼에 처음이신 경우, 광범위한 Sigma 규칙 을 탐색하여 관련 위협 컨텍스트, CTI 및 MITRE ATT&CK 참조, CVE 설명을 보고 위협 헌팅 트렌드에 대한 업데이트를 받으세요. 등록은 필요하지 않습니다!

모든 산업 선두 SIEM, EDR, XDR 솔루션과 호환되는 탐지 콘텐츠의 포괄적인 저장소는 SOC Prime 플랫폼에 등록하여 Threat Detection Marketplace에 접근하면 보안 모니터링의 기초를 강화하는데 사용할 수 있습니다. 전체 Grandoreiro 멀웨어 탐지용 Sigma 규칙 모음을 보려면 탐지 보기 버튼을 누르세요. SOC Prime은 숙련된 위협 헌터들에게 자신들의 Sigma 및 YARA 규칙을 광범위한 보안 실무자 커뮤니티와 공유하고, 동료 전문가의 지원과 인정을 받고, 그것을 가치 있는 수익원으로 만드는 기회를 제공합니다.

탐지 보기 Threat Bounty에 참여하세요

Grandoreiro 멀웨어 캠페인

Grandoreiro는 Delphi로 작성된 트로이목마 로, 운영자가 목표 디바이스를 장악할 수 있도록 설계되었습니다. 주요 목적은 대상의 계정에서 사기성 자금 이체를 시작하는 것입니다. 시스템에 들어서면 Grandoreiro는 키로깅, 데이터 절도, 인터넷 뱅킹 웹사이트 또는 애플리케이션에서 피해자의 작업을 모니터링하는 데 사용됩니다.

The Trustwave SpiderLabs 는 2022년 봄에 시작된 최신 캠페인을 자세히 설명했습니다. 연구 데이터에 따르면 적들은 스팸 캠페인을 통해 멀웨어를 전달하여 은행 고객을 대상으로 하고 있으며, 이 공격 벡터는 이 멀웨어 위협이 처음 문서화된 배포부터 변하지 않았습니다. 피해자는 포르투갈어로 된 피싱 미끼를 받게 됩니다. 이는 적들이 합법적인 세금 행정 서비스를 흉내 낸 것입니다. 가짜 메모는 무기화된 PDF 파일을 가져오는 URL을 포함하고 있습니다. 목표가 미끼를 물고, DocuSign에서 온 것이라고 주장하는 악의적인 PDF를 열면, ZIP 파일을 다운로드하여 MSI 설치 프로그램을 포함하게 될 가능성이 높습니다. 설치 프로그램은 최종 페이로드를 다운로드하며, 이렇게 하면 앞서 언급한 라틴 국가들에만 IP를 사용하여 목표를 공격합니다.

Grandoreiro의 분석은 적들이 매년 라틴 아메리카에서 학기 시즌을 노리고 트로이 목마를 사용한다는 것을 보여줍니다.

보안 리더는 SOC Prime 을 통해 시스템이 해커에게 앉아서 공격받지 않도록 보장할 수 있습니다.