墨西哥、西班牙制造商遭Grandoreiro 銀行惡意軟件攻擊

近日，“Grandoreiro”銀行木馬針對墨西哥汽車和機械制造商的工人，以及西班牙一家化學品制造商的員工進行攻擊。自 2017 年以來，該惡意軟件已知在野外活躍，是西班牙語用戶最嚴重的威脅之一。

2022 年 6 月，Zscaler分析師發現Grandoreiro 銀行惡意軟件的攻擊活動。它涉及部署一個 Grandoreiro 惡意軟件變種，該變種具有幾個新功能以逃避檢測和反分析，以及改進的 C2 系統。

最新 Grandoreiro 活動的受害者地圖 (Zscaler)

從電子郵件開始感染鏈始于一封偽裝成來自墨西哥城總檢察長辦公室或西班牙公共部的電子郵件，具體取決于目標。消息主題圍繞州退款、訴訟變更通知、抵押貸款取消等展開。

最新活動中使用的網絡釣魚電子郵件之一 (Zscaler)

該電子郵件包含一個鏈接，該鏈接將受害者重定向到一個丟棄 ZIP 檔案的網站。該文件包含偽裝成 PDF 文件的 Grandoreiro 加載器模塊，以誘騙受害者啟動它。一旦發生這種情況，將從遠程 HTTP 文件服務器以壓縮的 9.2MB 形式獲取 Delphi 有效負載ZIP 并由加載程序提取和執行。

Grandoreiro 的最新感染鏈 （Zscaler）

在該階段，加載程序收集系統信息，檢索已安裝的 AV 程序、加密貨幣錢包和電子銀行應用程序的列表，并將它們發送到 C2。使用從華碩竊取的證書簽名的最終有效載荷通過“二進制填充”的方法假設膨脹為 400MB，以逃避沙盒分析。

簽署最終有效負載的證書 (Zscaler)

在安全分析師 Ankit Anubhav 在Twitter 上強調的一個案例中，Grandoreiro 甚至要求受害者解決驗證碼以在系統上運行，這是另一種逃避分析的嘗試。

驗證碼步驟服務于受害者 ( @ankit_anubhav )

最后，通過添加兩個新的注冊表項來保持重啟之間的持久性，將 Grandoreiro 設置為在系統啟動時啟動。

在被破壞的系統上添加的注冊表項 (Zscaler)

Grandoreiro功能

Zscaler 采樣的最新 Grandoreiro 變體中的新增功能之一是使用 DGA（域生成算法）進行 C2 通信，這使得映射惡意軟件的基礎設施并將其拆除具有挑戰性。C2 通信模式現在與 LatentBot 相同，使用“ACTION+HELLO”信標和基于 ID 的 cookie 值響應。

葡萄牙網絡安全博主 Pedro Taveres在 2020 年首次發現了這兩種惡意軟件之間的共性，但直到最近才完成將 C2 通信技術同化到 Grandoreiro 的代碼中。主機上惡意軟件的后門功能包括：

鍵盤記錄

更新版本和模塊的自動更新

Web-Injects 和限制對特定網站的訪問

命令執行

操作窗口

將受害者的瀏覽器引導到特定的 URL

通過 DGA（域生成算法）生成 C2 域

模仿鼠標和鍵盤動作

外表

最近的活動表明，Grandoreiro 的運營商有興趣進行針對性強的攻擊，而不是向隨機收件人發送大量垃圾郵件。此外，惡意軟件的不斷發展使其具有更強的反分析和檢測回避功能，為更隱蔽的操作奠定了基礎。雖然 Zscaler 的報告沒有深入探討當前活動的具體目標，但 Grandoreiro 的運營商歷來表現出財務動機，因此假設情況保持不變。

怎么防范惡意軟件攻擊？

1、對于可疑的電子郵件要保持警惕，網絡釣魚是針對基層員工的首要攻擊策略；

2、應在每臺計算機上安裝性能好的反惡意軟件；

3、用戶應定期獲取安全更新和補丁，確保反惡意軟件的正常功能；

4、將侵入細節報告給機構安全人員或負責人。

惡意軟件被廣泛應用于政府和公司網站，也可以針對個人獲取信息。由于互聯網訪問廣泛興起，惡意軟件被更多地設計用于牟利。因此，不管是個人還是企業組織，都要保持警惕防范惡意軟件攻擊。