IBM X-Force с марта 2024 года отслеживает ряд фишинговых кампаний, распространяющих банковский троян Grandoreiro. Анализ вредоносной программы показал значительные обновления в алгоритме расшифровки строк и генерации доменов, а также возможность использования клиентов Microsoft Outlook на зараженных узлах для распространения фишинговых писем. Grandoreiro нацелен на более чем 1500 глобальных банковских приложений и веб-сайтов в более чем 60 странах. Хотя кампании ранее ограничивались Латинской Америкой, последние наблюдения показывают, что Grandoreiro начал распространяться и в других регионах, включая Южную Африку.
Фишинговая кампания, связанная с Grandoreiro, выдает себя за различные правительственные организации, такие как Налоговая служба Мексики и Федеральная комиссия по электроэнергии. В электронных письмах пользователю предлагается перейти по ссылке для просмотра счетов, оплаты или получения информации об уведомлениях. Если пользователь переходит по ссылке, ему загружается вредоносный файл, замаскированный под PDF. Grandoreiro также использует адреса электронной почты с зараженных устройств и клиентов Outlook для распространения фишинговых писем.
В последние месяцы операторы Grandoreiro начали проводить фишинговые кампании в регионах за пределами Латинской Америки, таких как Испания, Япония, Нидерланды и Италия. Особая кампания выдает себя за Налоговую службу Южной Африки (SARS) и направлена на пользователей в этом регионе. Это указывает на то, что операторы Grandoreiro расширяют свои кампании и на другие территории.
Эти наблюдения свидетельствуют о том, что Grandoreiro продолжает эволюционировать и адаптироваться к современным методам распространения и масштабированию своих атак.
Операторы Grandoreiro стремятся захватить дополнительные регионы и банковские системы, чтобы совершать финансовые махинации.
Indicators of Compromise
IPv4
- 15.228.245.103
- 15.229.211.175
- 18.231.158.159
- 18.231.181.227
URLs
- https://hilcfacdigitaelpichipt.norwayeast.cloudapp.azure.com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a
- https://onwfacttasunslahf.norwayeast.cloudapp.azure.com?_task=mail&_action=get&_mbox=INBOX&_uid=19101&_token=rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part=1.2.3&_embed=1&_mimeclass=image
- https://pjohconstruccionescpaz.com/?8205-23069071&tokenValue=92b768ccface4e96cee662517800b208f88ff796
- https://pjohconstruccionescpaz.com?docs/xml/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a
- https://servicerevenueza.southeastasia.cloudapp.azure.com/?PDF-XML-71348793
Emails
SHA256
- 10b498562aef754156e2b540754bf1ccf9a9cb62c732bf9b661746dd08c67bd1
- 29f19d9cd8fe38081a2fde66fb2e1eff33c4d4b5714ef5cada5cc76ec09bf2fa
- 2ab8c3a1a7fe14a49084fbf42bbdd04d6379e6ae2c74d801616e2b9cf8c8519c
- 3f920619470488b8c1fda4bb82803f72205b18b1ea31402b461a0b8fe737d6bd
- 55426bb348977496189cc6a61b711a3aadde155772a650ef17fba1f653431965
- 6772d2425b5a169aca824de3ff2aac400fa64c3edd93faaabd17d9c721d996c1
- 70f22917ec1fa3a764e21f16d68af80b697fb9d0eb4f9cd6537393b622906908
- 84572c0de71bce332eb9fa03fd342433263ad0c4f95dd3acd86d1207fa7d23f0
- 97f3c0beef87b993be321b5af3bf748cc8e003e6e90cf5febf69dfd81e85f581
- afd53240a591daf50f556ca952278cf098dbc5b6c2b16c3e46ab5a0b167afb40
- bfcd71a4095c2e81e2681aaf0239436368bc2ebddae7fdc8bb486ffc1040602c
- d005abe0a29b53c5995a10ce540cc2ffbe96e7f80bf43206d4db7921b6d6aa10
- f8f2c7020b2d38c806b5911acb373578cbd69612cbe7f21f172550f4b5d02fdb
- fb3d843d35c66f76b1b1b88260ad20096e118ef44fd94137dbe394f53c1b8a46