尽管在2024年初,Grandoreiro重要的运营人员已经被捕,但其合作伙伴继续使用Grandoreiro进行新的攻击行动。卡巴斯基全球研究与分析团队(GReAT)发现了一个新的Grandoreiro轻量级版本,其攻击目标主要为墨西哥的约30家银行。这些发现将在2024年安全分析师峰会(SAS)上重点介绍。Grandoreiro 变体仍然是全球最活跃的威胁之一,以 1,700 多家银行的用户为目标,约占今年银行木马攻击的 5%。 墨西哥是遭受Grandoreiro 毒株(包括新的轻型毒株)最受攻击的国家之一,今年记录了 51,000 起事件。
卡巴斯基协助国际刑警组织开展了一次协调行动,巴西当局因此逮捕了Grandoreiro 银行木马行动的幕后运营人员。卡巴斯基发现该威胁组织的代码库已被拆分成更轻量、碎片化的木马版本,以继续其攻击。最近的分析发现了一个主要针对墨西哥的特定轻量级版本,该版本已被用于攻击约30家金融机构。该版本的作者可能拥有Grandoreiro源代码,并正在使用简化后的旧恶意软件发起新的攻击活动。
“所有这些最新进展都凸显了威胁的演变性质。碎片化和更轻量级的版本可能代表一种趋势,这种趋势可能会扩展到墨西哥以外的其他地区,包括拉丁美洲以外。但是,我们认为只有少数可信的附属机构才能访问恶意软件源代码来开发这种轻量级版本。Grandoreiro 的运作方式与我们习惯的传统“恶意软件即服务”模式不同。你不会在暗网论坛上看到出售 Grandoreiro 软件包的公告;相反,对它的访问似乎受到限制,”卡巴斯基拉丁美洲全球研究与分析团队负责人Fabio Assolini解释说。
Grandoreiro的多个变种,包括新的轻量级版本和主要恶意软件,在2024年占卡巴斯基检测到的全球银行木马攻击的约5%,使其成为全球最活跃的威胁之一。卡巴斯基还分析了2024年主Grandoreiro主恶意软件的新样本,并观察到新的战术。它记录鼠标活动以模仿真实用户的模式,旨在逃避基于机器学习的安全系统的行为分析检测。通过重放自然的鼠标移动,恶意软件旨在欺骗反欺诈工具,使其将恶意软件活动视为合法活动。
此外,Grandoreiro采用了称为密文窃取(CTS)的加密技术,卡巴斯基此前从未在恶意软件中见过这种技术。在本案例中,其目的是加密恶意代码字符串。“Grandoreiro 具有庞大而复杂的结构,如果其字符串未加密,则会更容易被安全工具或分析人员检测到。这可能是他们引入这项新技术的原因——为了使对攻击的检测和分析更加复杂,”Fabio Assolini解释说。
卡巴斯基数据显示,Grandoreiro自2016年以来一直活跃。2024年,该威胁针对全球45个国家和地区超过1,700家金融机构和276个加密货币钱包,最近还将亚洲和非洲添加到其目标列表中,使其成为一个真正的全球金融威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。