Банковский троян распространяется через фейковые видео о коронавирусе

28.04.2020 12:06
Технологии
Компания ESET сообщает о всплеске активности банковского трояна

Компания ESET сообщает о всплеске активности банковского трояна Grandoreiro на фоне пандемии COVID-19.

Ранее Grandoreiro распространялся в основном при помощи спама через фейковые обновления Java или Flash. В настоящее время эксперты ESET обнаружили, что он стал скрываться в видео на поддельных сайтах, обещающих предоставить секретные данные о коронавирусе. Однако после попытки воспроизвести ролик, начинается загрузка вредоноса на устройство пользователя.

Среди функций бэкдора Grandoreiro: манипулирование окнами, самообновление, захват клавиш, моделирование действий мыши и клавиатуры, управление браузером жертвы и навигация по выбранным URL-адресам; перезапуск устройств, блокировка доступа к определенным веб-сайтам.

Троян собирает различную информацию о скомпрометированных устройствах: название компьютера, имя пользователя, версия операционной системы; выясняет, установлено ли приложение для защиты доступа к онлайн-банкингу; получает список установленных продуктов безопасности. Некоторые его версии также способны похищать учетные данные, хранящиеся в Google Chrome и Microsoft Outlook.

На рис. 1 представлены возможные пути распространения Grandoreiro. Окончательный ZIP-архив зашифрован и в некоторых случаях также защищен паролем.

"https://lh6.googleusercontent.com/5wm5VjqsJ9trYmPriZBvwyz48lrARgqiJbprBt56u4j8HynBgzSIj_GfzekFzPlrdHLMKEJvUlmzkhTr4TSbjy7zLVm1uVOy0fuweFaWwH2iADw3Y5Xz5e1J8oD_YG-7XGguaec"

Рис. 1

В отличие от других банковских троянов, Grandoreiro использует довольно небольшие сети для распространения. Для различных кампаний выбираются разные типы загрузчиков, которые нередко хранятся в известных публичных онлайн-сервисах, таких как GitHub, Dropbox, Pastebin, 4shared или 4Sync.