Riappare Grandoreiro Banking, Trojan che mira a oltre 1.500 banche in tutto il mondo

Il Grandoreiro Banking Trojan è tornato in una campagna globale dal mese di marzo 2024, dopo essere stato sradicato da un intervento delle forze dell’ordine a gennaio. Questo malware Windows-based è noto per il suo focus su America Latina, Spagna, e Portogallo, ma ora sta prendendo di mira oltre 1,500 banche in più di 60 paesi in America Centrale, America del Sud, Africa, Europa, e Indo-Pacifico.

Aumento della Portata e Miglioramenti al Malware
Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:-

L’espansione del bersaglio include significativi miglioramenti al malware stesso, indicando uno sviluppo attivo. Gli esperti di sicurezza Golo Mühr e Melissa Frydrych hanno rilevato importanti aggiornamenti nel sistema di decrittazione delle stringhe e nell’algoritmo di generazione del dominio (DGA), nonché la capacità di utilizzare i client Microsoft Outlook sui sistemi infetti per diffondere ulteriori email di phishing.

Infezione e Propagazione
Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:-

Le infezioni iniziano con email di phishing che invitano i destinatari a cliccare su un link per visualizzare una fattura o effettuare un pagamento, a seconda del contenuto dell’esca e dell’ente governativo impersonificato nei messaggi. Gli utenti che cliccano sul link vengono reindirizzati a un’immagine di un’icona PDF, che alla fine porta al download di un archivio ZIP con l’eseguibile del caricatore Grandoreiro.

Il caricatore personalizzato è gonfiato artificialmente a più di 100 MB per eludere i software di scansione antimalware. È anche responsabile del controllo dell’ambiente sandbox, la raccolta di dati di base sulle vittime, e il download e l’esecuzione del componente bancario del trojan.

Evasione della Sandbox e Persistenza
Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:-

Il componente bancario del trojan stabilisce la persistenza utilizzando il Registro di Windows e impiega una versione aggiornata del DGA per stabilire connessioni con un server di comando e controllo (C2) per ricevere istruzioni aggiuntive.

Comandi e Capacità Speciali
Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:–

Grandoreiro supporta una varietà di comandi che consentono agli attaccanti di prendere il controllo remoto del sistema, eseguire operazioni sui file, e abilitare modalità speciali, tra cui un nuovo modulo che raccoglie i dati di Microsoft Outlook e abusa dell’account di posta elettronica della vittima per inviare spam ad altri obiettivi.

Migliori Pratiche per la Sicurezza
Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:Articolo:–

Per proteggersi dal Grandoreiro Banking Trojan e altri malware, seguire queste best practice:

1. Mantieni aggiornati i tuoi sistemi operativi e i software installati. Gli aggiornamenti regolari possono aiutare a chiudere le vulnerabilità note che i malware potrebbero sfruttare.
2. Utilizza software antimalware affidabili e tienili aggiornati. Questi strumenti possono aiutare a rilevare e rimuovere malware prima che causino danni.
3. Educare gli utenti sulla sicurezza informatica. Insegnare agli utenti a riconoscere e a evitare email di phishing e siti web dannosi può ridurre il rischio di infezione.
4. Implementare la doppia autenticazione (2FA) per l’accesso ai servizi bancari online. La 2FA può aggiungere un livello di sicurezza aggiuntivo per proteggere i tuoi account bancari.
5. Backup regolari dei dati. I backup regolari possono aiutare a ripristinare i dati in caso di infezione da malware.

Seguendo queste linee guida, puoi ridurre il rischio di infezione da malware come Grandoreiro e proteggere i tuoi dati e sistemi.

Articolo:

Riferimenti The Hacker News. (2024, maggio 19). Grandoreiro Banking Trojan Resurfaces, Targeting Over 1,500 Banks Worldwide. Recuperato da https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html

Fonte: https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html