Лаборатории Trustwave SpiderLabs в начале апреля обнаружили вредоносную кампанию Grandoreiro, направленную на пользователей банков из Бразилии, Испании и Мексики. Кампания использует налоговый сезон в целевых странах, рассылая фишинговые письма с налоговой тематикой.
Grandoreiro Malware
Атака начинается с рассылки спама на португальском языке. В нем содержится ссылка, по которой загружается вредоносный PDF-документ, размещенный на взломанном сайте.
Затем PDF-документ обманом заставляет пользователя перейти по ссылке, ведущей на ZIP-архив, содержащий программу установки MSI. После запуска установщик MSI извлекает конечную полезную нагрузку, которая представляет собой еще один ZIP-пакет с исполняемым файлом и несколькими DLL-компонентами. Исполняемый файл (kitbootnetsuuui.exe) оказывается легитимным программным обеспечением под названием 'Advanced Installer Intune Tool', используемым для развертывания пакетов программного обеспечения и подписанным действительной подписью.
После запуска подписанного исполняемого файла он загружает вредоносную полезную нагрузку DLL и выполняет вредоносную процедуру. Грандорейро использует технику побочной загрузки DLL для сокрытия вредоносных действий под легитимным программным процессом. Этот метод, скорее всего, не будет обнаружен антивирусными сканерами, поскольку доброкачественный исполняемый файл, используемый для побочной загрузки DLL, может не вызывать предупреждений во время выполнения.
Grandoreiro может собирать информацию о хосте, такую как версия операционной системы, имя хоста, информация о мониторе, раскладке клавиатуры и типе мыши. Он может выполнять команды оболочки, например, пинговать домен или IP-адрес и убивать запущенные процессы. К возможностям бэкдора относятся ведение журнала клавиатуры, отслеживание активности пользователей в браузере, захват буферов обмена и кража сессионных файлов cookie.
Indicators Of Compromise
IPv4
- 167.114.43.27
- 167.114.88.99
IPv4 Port
- 167.114.43.27:4433
URLs
- http://167.114.43.27:4433/mrrrpx2503.zip
- http://belfaro.com.br/admin/PROCESSO-02028.82655.2019.550.pdf
- https://belfaro.com.br/admin/nota.php?file=docprocesso27032022.zip
SHA1
- 1e81d73ff946560692a01c38649227897339dd5a
- ff908727cc1b5335e541fbcd80a327565f308bc7