28 апреля 2020 1636

Незваный гость. Банковский троян прячется в видео о коронавирусе

Компания ESET, международный эксперт в области информационной безопасности, сообщает о всплеске активности банковского трояна Grandoreiro на фоне пандемии COVID-19.

Ранее Grandoreiro распространялся в основном при помощи спама через фейковые обновления Java или Flash. Сегодня он скрывается в видео на поддельных сайтах, обещающих предоставить секретные данные о коронавирусе. Однако после попытки воспроизвести ролик, начинается загрузка вредоноса на устройство пользователя.


Среди функций бэкдора Grandoreiro: манипулирование окнами, самообновление, захват клавиш, моделирование действий мыши и клавиатуры, управление браузером жертвы и навигация по выбранным URL-адресам; перезапуск устройства, а также блокировка доступа к определенным сайтам.


Троян собирает различную информацию о скомпрометированных устройствах: название компьютера, имя пользователя, версию операционной системы; выясняет, имеется ли приложение для защиты доступа к онлайн-банкингу; получает список установленных продуктов безопасности. Некоторые его версии также способны похищать учетные данные, хранящиеся в Google Chrome и Microsoft Outlook.


На картинке ниже представлены возможные пути распространения Grandoreiro. Окончательный ZIP-архив зашифрован и в некоторых случаях дополнительно защищен паролем.


В отличие от других банковских троянов, Grandoreiro использует довольно небольшие сети для распространения. Для различных кампаний выбираются разные типы загрузчиков, которые нередко хранятся в публичных онлайн-сервисах, таких как GitHub, Dropbox, Pastebin, 4shared или 4Sync.


Подробнее о Grandoreiro — в блоге ESET.

Комментарии

0
Оставьте комментарий!