Banking trojan Grandoreiro nog altijd actief
Ondanks de arrestatie van belangrijke beheerders in begin 2024, blijft de banking trojan Grandoreiro actief en wordt het ingezet door partners in nieuwe campagnes. Het Kaspersky Global Research and Analysis Team (GReAT) ontdekte een nieuwe light-versie van de trojan, gericht op Mexico en ongeveer 30 banken. Deze bevindingen worden gepresenteerd op de Security Analyst Summit (SAS) 2024. Grandoreiro is een van de meest actieve bedreigingen wereldwijd, verantwoordelijk voor ongeveer vijf procent van de aanvallen met banking trojans, met Mexico als een van de zwaarst getroffen landen.
Na een gecoördineerde actie van INTERPOL, waarbij Braziliaanse autoriteiten beheerders van Grandoreiro arresteerden, blijkt dat de groep hun malware heeft gefragmenteerd om hun aanvallen voort te zetten. Een nieuwe light-versie richt zich specifiek op financiële instellingen in Mexico. De aanvallers hebben waarschijnlijk nog toegang tot de broncode en blijven nieuwe campagnes ontwikkelen met deze vereenvoudigde malware, wat aangeeft dat de dreiging evolueert en mogelijk naar andere regio's kan uitbreiden.
Grandoreiro heeft geavanceerde technieken ontwikkeld, zoals het opnemen van muisactiviteiten om menselijke gebruikerspatronen na te bootsen en detectie door beveiligingssystemen te omzeilen. Tevens maakt de trojan gebruik van een cryptografische techniek genaamd Ciphertext Stealing (CTS) om schadelijke codes te verbergen, wat de detectie bemoeilijkt. Sinds zijn ontstaan in 2016 richt Grandoreiro zich op meer dan 1.700 financiële instellingen en 276 cryptocurrency wallets in 45 landen, waarbij Azië en Afrika recent zijn toegevoegd aan de doelwitten. Meer informatie is hier beschikbaar.