Společnost ESET ve spolupráci s brazilskou federální policií pomohla připravit akci k narušení botnetové sítě Grandoreiro. Bankovní malware Grandoreiro je aktivní minimálně od roku 2017 a útočníci se jeho prostřednictvím zaměřují především na Brazílii, Mexiko, Španělsko a od roku 2023 také na Argentinu. V České republice není tento malware detekován.
Podle bezpečnostních expertů v tuto chvíli nehrozí, že by se typ bankovního malwaru objevil také v České republice, protože banky, na které se škodlivý kód zaměřuje, zde nemají své pobočky. Na výzkumu a analýze této kybernetické hrozby se významně podílí především bezpečnostní experti z pražské výzkumné pobočky společnosti ESET.
"V pražské výzkumné pobočce se dlouhodobě zaměřujeme na mapování bankovního malwaru v zemích Latinské Ameriky v rámci takzvaného botnet trackingu. Naše týmy na monitorování objevených malware rodin pracují již od roku 2017. Této hrozbě přitom v minulosti nebylo věnováno příliš mnoho pozornosti, což se především dlouhodobou prací pražského týmu podařilo změnit," říká Jakub Souček, bezpečnostní expert z pražské výzkumné pobočky společnosti ESET.
Společná operace společnosti ESET a brazilské federální policie byla zaměřena na osoby, o nichž se předpokládá, že jsou vysoko v operační hierarchii botnetové sítě. Vyšetřování brazilské federální policie vedlo k několika zatčením v Brazílii a ve Španělsku.
ESET k celé akci přispěl poskytnutím technické analýzy, statistických informací a získaných doménových jmen a IP adres C&C serverů. Poskytnuté informace byly klíčové pro identifikaci účtů, které byly odpovědné za zřízení a připojení k C&C serverům (řídící a kontrolní servery) malwaru Grandoreiro.
Vlivem implementační chyby v síťovém protokolu mohli analytici společnosti ESET zjistit více informací také o obětech těchto útoků.
Z hlediska funkčnosti se škodlivý kód Grandoreiro od roku 2020 příliš nezměnil, přesto prochází rychlým a neustálým vývojem. Bezpečnostní experti ze společnosti ESET během pozorování tohoto malwaru zaznamenali i několik nových verzí škodlivého kódu týdně - v období od února 2022 do června 2022 to např. představovalo novou verzi škodlivého kódu v průměru každé čtyři dny.
Operátoři z řad útočníků musí napadené zařízení stále ovládat manuálně, aby mohli obětem ukrást jejich finanční prostředky. Škodlivý kód umožňuje např. blokovat obrazovky obětí, zaznamenávat stisky kláves na klávesnici, simulovat činnost myši a klávesnice, sdílet obrazovku obětí či zobrazovat falešná vyskakovací okna.
Latinskoamerické bankovní trojské koně jsou velmi odlišné od toho, co známe z jiných částí světa. Zatímco klasický bankovní trojan mění např. data ve formulářích internetového bankovnictví a funguje na základě modifikace webového provozu, latinskoamerický malware funguje jinak. Tyto bankovní trojany monitorují chování uživatele a čekají, až v prohlížeči otevře internetové bankovnictví nebo jinou finanční aplikaci.
Jakmile se tak stane, začne škodlivý kód, nainstalovaný na zařízení oběti jako jakýkoli jiný malware, komunikovat s C&C serverem, ke kterému má přístup útočník. Ten pak počká, až se uživatel do bankovnictví přihlásí, a následně převezme kontrolu nad počítačem uživatele - zablokuje mu obrazovku a zobrazí falešné okno s hláškou, která má uživatele přesvědčit, aby nevypínal aplikaci, např. pod záminkou právě probíhající aktualizace bankovního systému.
Zatímco uživatel čeká, útočník ovládá uživatelovu klávesnici a myš a manuálně provede transakci. V některých případech může dokonce zobrazit další falešné okno, které uživatele vyzývá k zadání ověřovacího kódu druhého faktoru.
Bezpečnostní experti z pražské výzkumné pobočky společnosti ESET využívají k monitorování latinskoamerického bankovního malwaru automatizované systémy, které jim umožňují speciálně sledovat změny škodlivého kódu v čase. Pražskému týmu se postupně podařilo zanalyzovat desítky tisíc vzorků bankovního malwaru Grandoreiro a jejich informace přispěly k celkovému zmapování oblasti latinskoamerického bankovního malwaru.
Algoritmus generování domén DGA, který malware používá přibližně od října 2020, vytváří jednu doménu denně a je to jediný způsob, jakým je Grandoreiro schopen navázat spojení s C&C serverem. Kromě aktuálního data pracuje algoritmus také s obrovskou statickou konfigurací.
Implementace síťového protokolu malwaru Grandoreiro umožnila analytikům ze společnosti ESET nahlédnout za oponu a získat informace také o obětech.
Zkoumáním těchto údajů za více než rok dospěli k závěru, že 66 % tvořili uživatelé systému Windows 10, 13 % používalo systém Windows 7, systém Windows 8 představoval 12 % a 9 % tvořili uživatelé systému Windows 11.
Protože data škodlivého kódu Grandoreiro uvádí nespolehlivé informace o geografickém rozložení obětí, odkazují tyto informace na telemetrii společnosti ESET - 65 % všech obětí bylo detekováno ve Španělsku, následuje Mexiko se 14 % obětí, Brazílie se 7 % a Argentina s 5 %; zbývajících 9 % obětí se nachází v ostatních latinskoamerických zemích.
V roce 2023 společnost ESET zaznamenala výrazný pokles aktivity Grandoreiro ve Španělsku, který byl kompenzován nárůstem kampaní v Mexiku a Argentině.
Více informací o trendech v kyberbezpečnosti najdete např. v online magazínu o IT bezpečnosti pro firmy Digital Security Guide. ESET ve spolupráci s kyberbezpečnostními odborníky dále připravuje podcast True Positive.
Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET.
Článek ESET software spol. s r. o. ze dne úterý 6. února 2024
Organizovaná síť podvodníků cílí na ubytovací platformy
Kybernetická špionáž APT skupiny Gamaredon
Ransomware ScRansom cílí na zranitelnosti v systémech malých a středních firem
Malware NGate se stal součástí útoků na klienty českých bank
Nové phishingové útoky na klienty českých bank
Digitální doklady pohledem českých uživatelů
Přehled aktivit ATP útočných skupin
ESET na kybernetickém cvičení NATO
Nový bezpečnostní tým ESETu se cíleně zaměří na aktivity kyberkriminálních útočných skupin
ESET MDR posiluje kybernetickou bezpečnost malých a středních firem
Silné a bezpečné heslo je důležité pro vaši ochranu v kyberprostoru
Široká nabídka ESET řešení v oblasti zabezpečení koncových bodů
ESET a brazilská policie společně s v boji proti botnetové síti Grandoreiro
Shrnutí a vývoj kybernetických hrozeb podle expertů ESET
Přístup českých uživatelů k bezpečnosti při online nakupování
ESET sjednocuje kyberbezpečnostní řešení pro domácí uživatele
Aktuální zpráva ESET APT Activity
PR komunikaci českého ESETu vede Rita Gabrielová
David Března v čele nové divize ESET Corporate Solutions
Nenechte se okrást podvodníky na internetových bazarech
ESET Threat Report T1 2023 mapuje globální vývoj kybernetických hrozeb
ESET pokračuje v růstu - celkové tržby za rok 2022 přesáhly 14 miliard korun
Nová obchodní strategie ESET mění model licencování a posiluje cloudová řešení
Pokročilá firemní ochrana v cloudu je hlavním hybatelem růstu českého ESETu
Patch Management v platformě ESET PROTECT Cloud
Detekce a ochrana před ransomware na úrovni hardwaru
Jindřich Mičán - nový technický ředitel české pobočky ESET
Nová verze ESET Cyber Security pro macOS
IDC oceňuje ESET za moderní ochranu koncových zařízení
Nové aktivity APT skupiny Lazarus
Špionážní kampaň APT skupiny StrongPity cílí na uživatele platformy Android
Pozor na podvodný spam v chatovací aplikaci Messenger
Phishing v Česku jako nový typ stálé hrozby
Shrnutí vývoje kybernetických hrozeb v roce 2022
Ukrajina je stále hlavním cílem APT skupin napojených na Rusko
Vnímání kybernetických hrozeb u malých a středních firem
ESET Threat Report T2 2022 mapuje globální vývoj kybernetických hrozeb
Češi často sdílí přihlašovací údaje pro více služeb
Lepší ochrana před ransomwarem a zabezpečení online plateb pro domácí uživatele
Špionážní malware zneužívá populární cloudové služby
Jiří Bracek v čele českého týmu pro výzkum a vývoj ESET Research
ESET slaví 30 let nepřetržitých inovací v oblasti IT bezpečnosti
Bezpečnostní produkty ESET za zvýhodněnou cenu
Nový malware typu backdoor pro platformu macOS
Globální finanční výsledky ESET za rok 2021
Vývoj kybernetických hrozeb v souvislosti s válkou na Ukrajině
Nové produkty kybernetické bezpečnosti pro ISP a Telco operátory
Globální útok ATP skupiny Lazarus na letecké a obranné společnosti
Globální iniciativa ESET Heroes of Progress hledá hrdiny pokroku a vizionáře