Разделы

Безопасность ИТ в банках

Новая версия Grandoreiro атакует мексиканские банки

Троянец Grandoreiro, активный с 2016 г., продолжает использоваться партнерами кибергруппы, участники которой были арестованы в начале 2024 г. Эксперты Kaspersky GReAT обнаружили новую версию зловреда, которая нацеливается на клиентов примерно 30 мексиканских банков. Об этом CNews сообщили представители «Лаборатории Касперского».

После проведенной совместно с Интерполом операции, которая привела к аресту участников кибергруппы в Бразилии, эксперты «Лаборатории Касперского» обнаружили, что вредоносный код поделен на более мелкие фрагменты и атаки продолжаются. Вероятно, их организаторы имеют доступ к исходному коду и запускают новые кампании, используя упрощенную версию первоначального кода Grandoreiro.

«Лаборатория Касперского» также проанализировала новые образцы обычной, не облегченной версии троянца Grandoreiro, и обнаружила новые тактики. Зловред записывает и потом воспроизводит активность мыши, имитируя реальные нажатия, чтобы избежать обнаружения системами безопасности, которые анализируют поведение пользователей. Кроме того, Grandoreiro использует криптографическую технику, известную как Ciphertext Stealing (CTS), которую эксперты «Лаборатории Касперского» ранее не встречали во вредоносных образцах. В данном случае техника позволяет зашифровать строки вредоносного кода и тем самым усложнить его обнаружение.

Grandoreiro остается наиболее активной глобальной киберугрозой. На атаки этого зловреда пришлось около 5% от всех атак банковских троянцев, причем большая их часть зафиксирована в Мексике (51 тыс. инцидентов, в том числе с использованием новой версии). Всего в 2024 г. разные версии троянца нацелены на пользователей более 1700 финансовых институтов и 276 криптовалютных кошельков в 45 странах.

«Мы видим, что у троянца Grandoreiro меняются не только цели, но и способы технической реализации атак. Для защиты от подобного вида киберугроз компаниям необходима надежная современная защита, эффективность которой регулярно подтверждается независимыми тестами, и доступ к аналитическим данным Threat Intelligence для своевременного получения информации о новейших тактиках, техниках и процедурах злоумышленников», — сказал Игорь Кузнецов, директор Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»).