Grandoreiro Malware IOCs

Опубликовано

Лаборатории Trustwave SpiderLabs в начале апреля обнаружили вредоносную кампанию Grandoreiro, направленную на пользователей банков из Бразилии, Испании и Мексики. Кампания использует налоговый сезон в целевых странах, рассылая фишинговые письма с налоговой тематикой.

Grandoreiro Malware

Атака начинается с рассылки спама на португальском языке. В нем содержится ссылка, по которой загружается вредоносный PDF-документ, размещенный на взломанном сайте.
Затем PDF-документ обманом заставляет пользователя перейти по ссылке, ведущей на ZIP-архив, содержащий программу установки MSI. После запуска установщик MSI извлекает конечную полезную нагрузку, которая представляет собой еще один ZIP-пакет с исполняемым файлом и несколькими DLL-компонентами. Исполняемый файл (kitbootnetsuuui.exe) оказывается легитимным программным обеспечением под названием 'Advanced Installer Intune Tool', используемым для развертывания пакетов программного обеспечения и подписанным действительной подписью.

После запуска подписанного исполняемого файла он загружает вредоносную полезную нагрузку DLL и выполняет вредоносную процедуру. Грандорейро использует технику побочной загрузки DLL для сокрытия вредоносных действий под легитимным программным процессом. Этот метод, скорее всего, не будет обнаружен антивирусными сканерами, поскольку доброкачественный исполняемый файл, используемый для побочной загрузки DLL, может не вызывать предупреждений во время выполнения.
Grandoreiro может собирать информацию о хосте, такую как версия операционной системы, имя хоста, информация о мониторе, раскладке клавиатуры и типе мыши. Он может выполнять команды оболочки, например, пинговать домен или IP-адрес и убивать запущенные процессы. К возможностям бэкдора относятся ведение журнала клавиатуры, отслеживание активности пользователей в браузере, захват буферов обмена и кража сессионных файлов cookie.

Indicators Of Compromise

IPv4

  • 167.114.43.27
  • 167.114.88.99

IPv4 Port

  • 167.114.43.27:4433

URLs

  • http://167.114.43.27:4433/mrrrpx2503.zip
  • http://belfaro.com.br/admin/PROCESSO-02028.82655.2019.550.pdf
  • https://belfaro.com.br/admin/nota.php?file=docprocesso27032022.zip

SHA1

  • 1e81d73ff946560692a01c38649227897339dd5a
  • ff908727cc1b5335e541fbcd80a327565f308bc7

Похожие записи:

  1. NDSW/NDSX Malware IOCs
  2. CopperStealer Malware IOCs
  3. Qakbot Malware IOCs
  4. YTStealer Malware IOCs
  5. Astaroth (Guildma) Malware IOCs
Grandoreiro Malware Trustwave SpiderLabs
Добавить комментарий