Analistas ESET avisou sobre o aumento da atividade do Trojan bancário Grandoreiro em meio à pandemia de COVID-19. O bunker é distribuído por meio de vídeos falsos de coronavírus.
Especialistas relatam que Grandoreiro, escrito anteriormente em Delphi, foi distribuído principalmente através de spam, através de mensagens falsas sobre a necessidade de atualização de Java ou Flash.
“Temos visto Grandoreiro sendo distribuído exclusivamente através de spam. Os autores geralmente utilizam uma atualização falsa de Java ou Flash, mas recentemente, talvez sem surpresa, observamos o spam deles também explorando o medo em torno do COVID-19”, – conte aos especialistas da ESET.
Ativo Desde 2017, banqueiro tem parasitado abertamente a pandemia de COVID-19: começou a se esconder em vídeos de sites falsos que prometem fornecer aos usuários alguns dados sensacionais sobre o coronavírus.
Quando você tenta reproduzir um vídeo nesse recurso, o malware começa a ser baixado no dispositivo do usuário.
Por falar nisso, como resultado da pandemia, interesse intensificado de usuários em sites e vídeos piratas, qual, claro, é usado por cibercriminosos.
Entre as funções do malware Grandoreiro estão: manipulação de janela, atualização automática, registrador de teclas, emulação de ações de mouse e teclado, controle do navegador da vítima e navegação para URLs selecionados, bem como reiniciar dispositivos e bloquear o acesso a determinados sites.
“Uma característica interessante do Grandoreiro é o seu grande esforço para evitar a detecção. Isso inclui muitas técnicas para detectar ou até mesmo desabilitar software de proteção bancária. Ele também utiliza uma aplicação muito específica da técnica de preenchimento binário que não vimos antes, o que torna difícil se livrar do preenchimento enquanto mantém um arquivo válido”, – escrevem pesquisadores da ESET.
O trojan coleta diversas informações sobre dispositivos comprometidos: nome do computador, nome de usuário, versão do sistema operacional. Ele descobre se o aplicativo de proteção de acesso ao banco online está instalado, obtém uma lista de produtos de segurança instalados.
Algumas versões do Grandoreiro também são capazes de roubar credenciais armazenadas no Google Chrome e no Microsoft Outlook.
Ao contrário de outros trojans bancários, Grandoreiro usa redes relativamente pequenas para espalhar. Para diferentes campanhas, selecionou diferentes tipos de downloaders, que geralmente são armazenados em serviços públicos conhecidos, como GitHub, Dropbox, Colar lixeira, 4compartilhado ou 4Sync.
Pesquisadores observam que o banqueiro ainda está focado principalmente em usuários de países latino-americanos: Brasil, México, Espanha e Peru.
