Банковские счета компаний Испании и Мексики оказались под угрозой

[Artifact]

Банковский троян тестирует пользователя перед атакой и имеет сходство со старым трояном.

Согласно отчету Zscaler , в рамках новой кампании злоумышленник с помощью фишинговых электронных писем выдает себя за правительственных чиновников из Генпрокуратуры Мехико и Министерства государственного управления, чтобы побудить жертв загрузить и запустить Grandoreiro . Этот распространенный банковский троян активен по крайней мере с 2016 года и нацелен на пользователей в Латинской Америке.
С июня 2022 года киберпреступник с помощью многочисленных цепочек заражения атакует компании в секторе автомобилестроения, промышленного и гражданского строительства, логистики и машиностроения в Мексике и предприятия химической промышленности в Испании.
Отправляемые фишинговые письма написаны на испанском языке и побуждают жертву нажать на встроенную ссылку, которая загружает ZIP-архив. Из архива извлекается загрузчик, который маскируется под PDF-документ, чтобы осуществить запуск процесса.
В фишинговых сообщениях используются темы, связанные с возмещением платежей, уведомлениями о судебных разбирательствах, аннулированием ипотечных кредитов и депозитными ваучерами.
Этот загрузчик отвечает за загрузку, извлечение и выполнение полезной нагрузки Grandoreiro объемом 400 МБ с удаленного HFS-сервера, которая далее взаимодействует с C2-сервером, используя трафик, идентичный LatentBot .
Загрузчик также предназначен для сбора системной информации, получения списка установленного антивирусного ПО, криптовалютных кошельков, банковских и почтовых приложений и передачи информации на удаленный сервер.
Grandoreiro представляет собой модульный бэкдор с набором функций, которые позволяют ему:

• записывать нажатия клавиш;

• выполнять произвольные команды;

• имитировать движения мыши и клавиатуры;

• ограничивать доступ к определенным веб-сайтам;

• автоматически обновляться;

• сохраняться в системе через изменение реестра Windows.

Более того, вредоносное ПО использует тест CAPTCHA для обхода песочницы. Прохождение CAPTCHA запускает троян на скомпрометированной машине, т.е. бэкдор не запустится до тех пор, пока жертва не решит CAPTCHA.