Varian baru dari malware perbankan yang disebut Grandoreiro ditemukan mengadopsi taktik baru dalam upaya untuk melewati langkah-langkah anti-penipuan, yang menunjukkan bahwa perangkat lunak berbahaya tersebut terus dikembangkan secara aktif meskipun ada upaya penegakan hukum untuk menindak operasi tersebut.
“Hanya sebagian dari geng ini yang ditangkap: operator yang tersisa di belakang Grandoreiro terus menyerang pengguna di seluruh dunia, mengembangkan lebih lanjut malware baru dan membangun infrastruktur baru,” kata Kaspersky dalam analisis yang diterbitkan Selasa.
Beberapa trik baru lainnya termasuk penggunaan algoritma pembuatan domain (DGA) untuk komunikasi perintah-dan-kontrol (C2), enkripsi pencurian ciphertext (CTS), dan pelacakan mouse. Yang juga diamati adalah “versi lokal yang lebih ringan” yang secara khusus berfokus pada penargetan nasabah perbankan di Meksiko.
Grandoreiro, aktif sejak tahun 2016, secara konsisten berkembang dari waktu ke waktu, berupaya untuk tetap tidak terdeteksi, sekaligus memperluas cakupan geografisnya ke Amerika Latin dan Eropa. Ia mampu mencuri kredensial 1.700 lembaga keuangan yang berlokasi di 45 negara dan wilayah.
Dikatakan bahwa ia beroperasi di bawah model malware-as-a-service (MaaS), meskipun bukti menunjukkan bahwa ia hanya ditawarkan kepada penjahat dunia maya tertentu dan mitra tepercaya.
Salah satu perkembangan paling signifikan tahun ini terkait Grandoreiro adalah penangkapan beberapa anggota kelompok, sebuah peristiwa yang menyebabkan terfragmentasinya basis kode Delphi malware tersebut.
“Penemuan ini didukung oleh keberadaan dua basis kode berbeda dalam kampanye simultan: sampel baru yang menampilkan kode terbaru, dan sampel lama yang mengandalkan basis kode lama, kini hanya menargetkan pengguna di Meksiko – pelanggan dari sekitar 30 bank,” kata Kaspersky.
Grandoreiro terutama didistribusikan melalui email phishing, dan pada tingkat lebih rendah, melalui iklan berbahaya yang ditayangkan di Google. Tahap pertama adalah file ZIP, yang berisi file sah dan pemuat MSI yang bertanggung jawab untuk mengunduh dan meluncurkan malware.
Kampanye yang dilakukan pada tahun 2023 diketahui memanfaatkan executable portabel yang sangat besar dengan ukuran file 390 MB dengan menyamar sebagai driver AMD External Data SSD untuk melewati sandbox dan tidak terdeteksi radar.
Malware perbankan dilengkapi dengan fitur untuk mengumpulkan informasi host dan data lokasi alamat IP. Itu juga mengekstrak nama pengguna dan memeriksa apakah itu berisi string “John” atau “WORK,” dan jika demikian, hentikan eksekusinya.
“Grandoreiro mencari solusi anti-malware seperti AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Bebas Virus, Adaware, Symantec, Tencent, Avira, ActiveScan, dan CrowdStrike,” kata perusahaan itu. “Ia juga mencari perangkat lunak keamanan perbankan, seperti Topaz OFD dan Trusteer.”
Fungsi penting lainnya dari malware ini adalah untuk memeriksa keberadaan browser web tertentu, klien email, VPN, dan aplikasi penyimpanan cloud pada sistem dan memantau aktivitas pengguna di seluruh aplikasi tersebut. Selain itu, ini dapat bertindak sebagai pemotong untuk merutekan ulang transaksi mata uang kripto ke dompet di bawah kendali pelaku ancaman.
Rantai serangan baru yang terdeteksi setelah penangkapan tahun ini mencakup penghalang CAPTCHA sebelum eksekusi muatan utama sebagai cara untuk menghindari analisis otomatis.
Versi terbaru Grandoreiro juga telah menerima pembaruan yang signifikan, termasuk kemampuan untuk memperbarui sendiri, mencatat penekanan tombol, memilih negara untuk mencantumkan korban, mendeteksi solusi keamanan perbankan, menggunakan Outlook untuk mengirim email spam, dan memantau email Outlook untuk kata kunci tertentu.
Ini juga dilengkapi untuk menangkap pergerakan mouse, menandakan upaya untuk meniru perilaku pengguna dan mengelabui sistem anti-penipuan agar mengidentifikasi aktivitas tersebut sebagai aktivitas yang sah.
“Penemuan ini menyoroti evolusi berkelanjutan dari malware seperti Grandoreiro, di mana penyerang semakin banyak menggunakan taktik yang dirancang untuk melawan solusi keamanan modern yang mengandalkan biometrik perilaku dan pembelajaran mesin,” kata para peneliti.
Setelah kredensial diperoleh, pelaku ancaman mencairkan dana tersebut ke rekening milik money mules lokal melalui aplikasi transfer, mata uang kripto, atau kartu hadiah, atau ATM. Keledai tersebut diidentifikasi menggunakan saluran Telegram dan membayar mereka $200 hingga $500 per hari.
Akses jarak jauh ke mesin korban difasilitasi menggunakan alat berbasis Delphi bernama Operator yang menampilkan daftar korban setiap kali mereka mulai menelusuri situs web lembaga keuangan yang ditargetkan.
“Para pelaku ancaman di balik malware perbankan Grandoreiro terus mengembangkan taktik dan malware mereka agar berhasil melakukan serangan terhadap target mereka dan menghindari solusi keamanan,” kata Kaspersky.
“Trojan perbankan Brasil sudah menjadi ancaman internasional; mereka mengisi kekosongan yang ditinggalkan oleh geng-geng Eropa Timur yang bermigrasi ke ransomware.”
