Trojans bancários latino-americanos estão prestes a criar uma tendência separada na escrita de malware. Adversários criam regularmente novos Trojans or Exploit Kits para atacar usuários de bancos no Brasil, México e Peru, e a cada nova campanha maliciosa expandem suas listas de alvos primeiro para países vizinhos, e depois para campanhas globais. Em nosso recente Rule Digest, observamos uma regra para detectar um desses trojans sem nome. E hoje, uma campanha espalhando a cepa de malware Grandoreiro chamou nossa atenção.
Grandoreiro é um trojan bancário escrito em Delphi que está ativo pelo menos desde 2017, visando o Brasil e o Peru, expandindo-se para o México e Espanha em 2019, e agora estendendo-se a Portugal. No final do mês passado, pesquisadores descobriram uma campanha de spam visando entregar um trojan bancário Grandoreiro atualizado para usuários nos países mencionados acima. O malware atualizado inclui melhorias na forma como está operando. A ameaça tem sido disseminada via campanhas de malspam, como no passado, e o nome da vítima é usado como parte do nome do anexo malicioso. Grandoreiro tem funcionalidade de backdoor e pode manipular janelas, capturar pressionamentos de teclas, simular ações de mouse e teclado, e navegar o navegador da vítima para uma URL escolhida.
New Den IuzvikA regra da comunidade pode descobrir o trojan bancário Grandoreiro quando ele tenta desativar o software de proteção de acesso bancário: https://tdm.socprime.com/tdm/info/vxfayUAZIqKy/7na3t3IBPeJ4_8xcS8As/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Evasão de Defesa
Técnicas: Modificação de Permissões de Arquivo e Diretório (T1222)
