Grandoreiro

Por GoldSparrow em Trojans

Traduzir Para:

Trojans bancários remotos que exibem sobreposições falsas são ameaças muito populares na América do Sul. As primeiras campanhas em massa envolvendo esse tipo de malware foram detectadas pelos pesquisadores de segurança cibernética em 2014. Desde 2014, os cibercriminosos lançam um número crescente de campanhas desse tipo. Entre as ameaças mais recentes desse tipo está o malware Grandoreiro.

A ameaça Grandoreiro tem dois componentes principais:

Uma extensão do navegador, que coleta informações sobre o usuário - histórico de navegação, configurações do sistema e cookies.
Um módulo de acesso remoto, que serve para fornecer aos operadores da ameaça acesso ao navegador da Web do usuário. Este módulo permite que os atacantes interajam com o navegador em questão.

Segundo os especialistas em malware, a ameaça Grandoreiro está sendo propagada por meio de arquivos de documentos fraudulentos. Os atacantes adaptariam os arquivos falsos para parecerem documentos importantes que precisam ser revisados o mais rápido possível - faturas, detalhes de rastreamento, ofertas de emprego etc. Para fazer com que os documentos falsos se pareçam como arquivos legítimos, os atacantes usam o truque de extensão dupla. Muitos cibercriminosos usam esse truque porque o Windows oculta as extensões dos arquivos automaticamente. Isso significa que o usuário receberia um arquivo que parece ser um arquivo '.docx' comum, quando na verdade é um arquivo '.msi'. Por exemplo, um arquivo cujo nome real é 'CV.docx.msi' apareceria como 'CV.docx' no computador da vítima.

Quando o malware Grandoreiro se infiltra no computador visado, ele deixa os seus arquivos em vários diretórios do sistema. Em seguida, para ganhar persistência, o malware Grandoreiro alterará o Registro do sistema do Windows. O segundo módulo da ameaça Grandoreiro será plantado em uma pasta separada no sistema do usuário. Em seguida, o malware Grandoreiro criará um atalho no Google Chrome que utiliza um parâmetro específico, e serve para carregar a extensão corrompida manualmente. Todos os atalhos do Google Chrome no sistema do usuário serão substituídos por uma cópia falsa, o que garante que sempre que os usuários desejarem abrir o seu navegador, eles usarão uma das variantes falsas criadas pela ameaça Grandoreiro.

A extensão falsa do navegador da Web serve para coletar dados sobre a atividade online da vítima:

Atividade da área de transferência.
Histórico do navegador.
Configurações do sistema.
Permissões de notificação.

O malware Grandoreiro observará a URL que está ativa no navegador do usuário para detectar se a vítima está tentando acessar um portal bancário. Se essa atividade for detectada, a ameaça Grandoreiro se conectará ao servidor de C&C (Comando e Controle) dos atacantes. Nesta fase do ataque, a vítima provavelmente receberá sobreposições cuidadosamente elaboradas e avisos falsos que têm um objetivo - recolher as credenciais de login do usuário e informações bancárias. Nem é prciso dizer que esse ataque cibernético pode ser muito devastador e causar enormes prejuízos financeiros para a vítima.

Verifique se o seu computador está protegido por uma solução anti-malware respeitável que não permitirá que ameaças como o Grandoreiro acessem seu computador e coletem dados.