ESET: зловмисники продовжують використовувати коронавірус у своїх схемах
ESET: зловмисники продовжують використовувати коронавірус у своїх схемах
ESET повідомив про виявлення нової активності сімейства банківських троянів Grandoreiro, які використовують тему коронавірусу та поширюються на підроблених сайтах.
Як правило, банківський троян поширюється через спам-повідомлення електронної пошти, використовуючи підроблені оновлення Java або Flash. Однак тепер зловмисники перейшли до шахрайства, пов'язаного з глобальною проблемою — COVID-19. У цьому випадку троян використовує відео з інформацією про коронавірус на фальшивих веб-сайтах. Однак натискання відео веде не до відтворення ролика, а до завантаження шкідливого компонента на пристрої користувачів.
Варто зазначити, що Grandoreiro активний з 2017 року в Бразилії та Перу, однак у 2019 році його цілями стали користувачі Мексики та Іспанії. як і в випадках поширення інших латиноамериканських банківських троянів, зловмисники використовують фальшиві спливаючі вікна для маніпулювання діями користувачів з метою отримання їх конфіденційних даних.
Банківський троян Grandoreiro: особливості зараження
Grandoreiro використовує функціонал бекдора, який дозволяє відкривати шкідливі вікна, завантажувати оновлення, зчитувати натискання клавіш, імітувати дії миші та клавіатури, а також направляти жертву на конкретні адреси. Крім цього, зловмисники можуть виконати вихід користувача із системи, перезавантажити пристрій та заблокувати доступ до певних веб-сайтів.
Банківський троян Grandoreiro збирає різну інформацію про свої жертви — ім'я користувача, назву пристрою, версія ОС та розрядність, список встановлених продуктів безпеки та наявність програм захисту доступу до онлайн-банкінгу. У деяких версіях загроза також викрадає облікові дані, які зберігаються в Google Chrome і Microsoft Outlook.
«Кіберзлочинці використовують велику кількість технік та методів, щоб уникнути виявлення та емуляції, наприклад, відключення програмного забезпечення для захисту Інтернет-банкінгу, — коментує дослідник компанії ESET. — Зловмисники швидко вдосконалюють функціонал банківського трояна. Майже у кожній новій версії загрози ми виявляємо деякі зміни. Крім цього, є підозри, що кіберзлочинці розробляють одночасно кілька варіантів трояна. З технічної точки зору зловмисники застосовують специфічну техніку «бінарне заповнення», яка ускладнює виявлення, зберігаючи цей файл», — додає дослідник компанії ESET.
Крім цього, зловмисники обирають різні типи завантажувачів залежно від кампаній. Ці завантажувачі часто зберігаються на відомих загальнодоступних онлайн-сервісах, таких як GitHub, Dropbox, Pastebin, 4shared або 4Sync.
