ESET a brazilská policie společně s v boji proti botnetové síti Grandoreiro

Společnost ESET ve spolupráci s brazilskou federální policií pomohla připravit akci k narušení botnetové sítě Grandoreiro. Bankovní malware Grandoreiro je aktivní minimálně od roku 2017 a útočníci se jeho prostřednictvím zaměřují především na Brazílii, Mexiko, Španělsko a od roku 2023 také na Argentinu. V České republice není tento malware detekován.

Podle bezpečnostních expertů v tuto chvíli nehrozí, že by se typ bankovního malwaru objevil také v České republice, protože banky, na které se škodlivý kód zaměřuje, zde nemají své pobočky. Na výzkumu a analýze této kybernetické hrozby se významně podílí především bezpečnostní experti z pražské výzkumné pobočky společnosti ESET.

"V pražské výzkumné pobočce se dlouhodobě zaměřujeme na mapování bankovního malwaru v zemích Latinské Ameriky v rámci takzvaného botnet trackingu. Naše týmy na monitorování objevených malware rodin pracují již od roku 2017. Této hrozbě přitom v minulosti nebylo věnováno příliš mnoho pozornosti, což se především dlouhodobou prací pražského týmu podařilo změnit," říká Jakub Souček, bezpečnostní expert z pražské výzkumné pobočky společnosti ESET.

Společná operace společnosti ESET a brazilské federální policie byla zaměřena na osoby, o nichž se předpokládá, že jsou vysoko v operační hierarchii botnetové sítě. Vyšetřování brazilské federální policie vedlo k několika zatčením v Brazílii a ve Španělsku.

ESET k celé akci přispěl poskytnutím technické analýzy, statistických informací a získaných doménových jmen a IP adres C&C serverů. Poskytnuté informace byly klíčové pro identifikaci účtů, které byly odpovědné za zřízení a připojení k C&C serverům (řídící a kontrolní servery) malwaru Grandoreiro.

Vlivem implementační chyby v síťovém protokolu mohli analytici společnosti ESET zjistit více informací také o obětech těchto útoků.

Útočník čeká na přihlášení do bankovnictví, pak převezme kontrolu nad účtem

Z hlediska funkčnosti se škodlivý kód Grandoreiro od roku 2020 příliš nezměnil, přesto prochází rychlým a neustálým vývojem. Bezpečnostní experti ze společnosti ESET během pozorování tohoto malwaru zaznamenali i několik nových verzí škodlivého kódu týdně - v období od února 2022 do června 2022 to např. představovalo novou verzi škodlivého kódu v průměru každé čtyři dny.

Operátoři z řad útočníků musí napadené zařízení stále ovládat manuálně, aby mohli obětem ukrást jejich finanční prostředky. Škodlivý kód umožňuje např. blokovat obrazovky obětí, zaznamenávat stisky kláves na klávesnici, simulovat činnost myši a klávesnice, sdílet obrazovku obětí či zobrazovat falešná vyskakovací okna.

Jak funguje latinskoamerický malware

Latinskoamerické bankovní trojské koně jsou velmi odlišné od toho, co známe z jiných částí světa. Zatímco klasický bankovní trojan mění např. data ve formulářích internetového bankovnictví a funguje na základě modifikace webového provozu, latinskoamerický malware funguje jinak. Tyto bankovní trojany monitorují chování uživatele a čekají, až v prohlížeči otevře internetové bankovnictví nebo jinou finanční aplikaci.

Jakmile se tak stane, začne škodlivý kód, nainstalovaný na zařízení oběti jako jakýkoli jiný malware, komunikovat s C&C serverem, ke kterému má přístup útočník. Ten pak počká, až se uživatel do bankovnictví přihlásí, a následně převezme kontrolu nad počítačem uživatele - zablokuje mu obrazovku a zobrazí falešné okno s hláškou, která má uživatele přesvědčit, aby nevypínal aplikaci, např. pod záminkou právě probíhající aktualizace bankovního systému.

Zatímco uživatel čeká, útočník ovládá uživatelovu klávesnici a myš a manuálně provede transakci. V některých případech může dokonce zobrazit další falešné okno, které uživatele vyzývá k zadání ověřovacího kódu druhého faktoru.

Nejvíce obětí využívá operační systém Windows 10

Bezpečnostní experti z pražské výzkumné pobočky společnosti ESET využívají k monitorování latinskoamerického bankovního malwaru automatizované systémy, které jim umožňují speciálně sledovat změny škodlivého kódu v čase. Pražskému týmu se postupně podařilo zanalyzovat desítky tisíc vzorků bankovního malwaru Grandoreiro a jejich informace přispěly k celkovému zmapování oblasti latinskoamerického bankovního malwaru.

Algoritmus generování domén DGA, který malware používá přibližně od října 2020, vytváří jednu doménu denně a je to jediný způsob, jakým je Grandoreiro schopen navázat spojení s C&C serverem. Kromě aktuálního data pracuje algoritmus také s obrovskou statickou konfigurací.

Implementace síťového protokolu malwaru Grandoreiro umožnila analytikům ze společnosti ESET nahlédnout za oponu a získat informace také o obětech.

Zkoumáním těchto údajů za více než rok dospěli k závěru, že 66 % tvořili uživatelé systému Windows 10, 13 % používalo systém Windows 7, systém Windows 8 představoval 12 % a 9 % tvořili uživatelé systému Windows 11.

Protože data škodlivého kódu Grandoreiro uvádí nespolehlivé informace o geografickém rozložení obětí, odkazují tyto informace na telemetrii společnosti ESET - 65 % všech obětí bylo detekováno ve Španělsku, následuje Mexiko se 14 % obětí, Brazílie se 7 % a Argentina s 5 %; zbývajících 9 % obětí se nachází v ostatních latinskoamerických zemích.

V roce 2023 společnost ESET zaznamenala výrazný pokles aktivity Grandoreiro ve Španělsku, který byl kompenzován nárůstem kampaní v Mexiku a Argentině.

Informace o trendech kybernetické bezpečnosti

Více informací o trendech v kyberbezpečnosti najdete např. v online magazínu o IT bezpečnosti pro firmy Digital Security Guide. ESET ve spolupráci s kyberbezpečnostními odborníky dále připravuje podcast True Positive.

Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET.