روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛Grandoreiro تروجان بانکی شناخته‌شده‌ی برزیلی است- بخشی از چتر Tetrade- که به اشرار اجازه می‌دهد با استفاده از کامپیوتر قربانی برای دور زدن اقدامات امنیتی مؤسسات بانکی، عملیات‌های بانکداری کلاهبردارانه انجام دهند. این تروجان از سال 2016 فعال است و اکنون یکی از گسترده‌ترین تروجان‌های باکی در سراسر جهان است. آژانس‌های مجری قانونی و اینترپل در سراسر جهان در حال مبارزه با Grandoreiro هستند و کسپرسکی نیز دارد با آن‌ها همکاری می‌کند (TTPها و loCها را به اشتراک گذاشته است). با این حال، علیرغم اختلال در برخی اپراتورهای لوکالِ این تروجان در سال‌های 2021 و 2024 و نیز دستگیری اعضای این گنگ در اسپانیا، برزیل و آرژانتین هنوز این تروجان فعالیت دارد. ما اکنون مطمئنیم تنها بخشی از این گنگ دستگیر شده: باقی عاملین پشت Grandoreiro هنوز دارند به کاربران سراسر جهان حمله می‌کنند و تازه به فکر توسعه بدافزارهای جدید و ایجاد زیرساخت تازه هستند.

هرسال می‌بینیم که کمپین‌های Grandoreiro نهادهای مالی را با استفاده از ترفندهای جدید در نمونه‌هایی با نرخ شناسایی پایین (از سوی راهکارهای امنیتی)  هدف قرار می‌دهند. این گروه در طول سال‌ها تکامل پیدا کرده و تعداد تارگت‌هایش در هر کمپین جدیدی که ردیابی می‌کنیم دارد بیشتر می‌شود. در سال 2023، این تروجان بانکی 900 بانک را در 40 کشور مورد هدف قرار داد- سال 2024 جدیدترین نسخه‌های این تروجان 1700 بانک و 276 کریپتووالت را در 45 کشور و قلمرو واقع در همه قاره‌های جهان هدف قرار داد. آسیا و آفریقا در نهایت به لیست تارگت‌های آن اضافه شدند و آن را به تهدید مالی جقیقتاً جهانی تبدیل کردند. در خود اسپانیا به تنهایی، Grandoreiro طبق تخمین‌های محتاطانه، مسئولیت فعالیت‌های شرورانه‌ای با سود 3.5 میلیون یورویی را دارد- چندین تلاش ناموفق می‌توانست بیش از 110 میلیون یورو برای سازمان جنایتکار به همراه داشته باشد. در این مقاله قرار است با جزئیات توضیح دهیم Grandoreiro چطور عمل می‌کند، چطور در طول زمان تکامل پیدا کرد و این بدافزار چه ترفندهای جدیدی را اتخاذ کرده؛ برای مثال استفاده از DGAها - الگوریتم تولید دامنه- در ارتباطات C2 آن، اتخاذ CTS‌ (رمزگذاری سرقت متن رمزی) و ردیابی رفتار موس با هدف عبور از راهکارهای ضد کلاهبرداری. این تکامل باظهور نسخه‌های خفیف‌تر و لوکال که اکنون تمرکزشان روی مکزیک است به اوج خود می‌رسد و این گروه را به چالشی برای بخش مالی، آژانس‌های اجرای قانون و راهکارهای امنیتی سراسر جهان تبدیل کرده.

Grandoreiro: بدافزاری با کلی عامل و نسخه‌های پراکنده

Grandoreiro تروجان بانکی‌ای است با اصلیت برزیلی که دست کم از سال 2016 فعال است. Grandoreiro به زبان برنامه‌نویسی دلفی نوشته شده و کلی نسخه دارد و همین نشان می‌دهد عاملین مختلف در توسعه این بدافزار نقش داشتند. از سال 2016 عاملین تهدیدی را می‌بینیم که پشت عملیات‌های Grandoreiro هستند و به طور منظم تکنیک‌های خود را برای دور ماندن از نظارت و مدت بیشتری ماندن، ارتقا می‌دهند. در سال 2020 Grandoreiro شروع کرد حملات خود را در آمریکای لاتین و بعدها در اروپا با موفقیت بیشتر با تمرکز بر تلاش‌های خود در دور زدن شناسایی آن هم با استفاده از نصب‌گرهای ماژولار گسترش دادن. Grandoreiro به طور کلی بدافزار به عنوان سرویس را اجرا می‌کند هرچند با سایر خانواده‌های تروجان بانکی کمی تفاوت دارد.

شما در انجمن‌های زیرزمینی اطلاعیه‌ای برای فروش بسته Grandoreiro پیدا نمی‌کنید – به نظر می‌رسد که دسترسی به کد منبع یا سازندگان تروجان بسیار محدود است، فقط برای شرکای مورد اعتماد. پس از دستگیری برخی از اپراتورها، Grandoreiro پایگاه کد خود را به نسخه های سبک‌تر، با اهداف کمتر تقسیم کرد. این نسخه‌های تکه‌تکه شده از تروجان واکنشی به عملیات اخیر اجرای قانون است. این کشف با وجود دو پایگاه کد مجزا در کمپین‌های همزمان پشتیبانی می‌شود: نمونه‌های جدیدتر با کدهای به‌روزشده، و نمونه‌های قدیمی‌تر که بر پایه کدهای قدیمی متکی هستند و اکنون فقط کاربران مکزیکی را هدف قرار می‌دهند - مشتریان حدود 30 بانک.

کمپین‌های 2022 و 2023

کمپین‌های Grandoreiro مشترکاً با ایمیل فیشینگ نوشته‌شده به زبان کشور هدف شروع می‌کنند. برای مثال، ایمیل‌های توزیع‌شده در بیشتر آمریکای لاتین اسپانیایی هستند. اما همچنین مواردی دیدیم که از گوگل ادز (تبلیغات بدافزاری) در برخی کمپین‌های Grandoreiro استفاده شده تا کاربران مجاب شوند مرحله اول آلودگی را دانلود کنند. ایمیل‌های فیشینگ از قلاب‌های مختلفی برای مجاب کردن قربانی به ارتباط با پیام و دانلود بدافزار استفاده می‌کنند. برخی پیام‌ها به قبض تلفن معوقه اشاره می‌کنند، برخی دیگر از اخطار مالیاتی تقلید می‌کنند. در کمپین های اوایل سال 2022، ایمیل مخرب شامل یک PDF پیوست شده می‌شد. به محض باز شدن PDF، از قربانی یک تصویر تار به جز قسمتی حاوی Visualizar Documento  ("مشاهده سند" در اسپانیایی) خواسته می‌شود.

وقتی قربانی روی دکمه کلیک می‌کند، به یک صفحه وب مخرب هدایت می‌شود که از آنها می‌خواهد یک فایل ZIP را دانلود کنند. از می 2022، کمپین های Grandoreiro شامل یک لینک مخرب در داخل بدنه ایمیل  می‌شود که قربانی را به وبسایتی هدایت می‌کند که سپس یک آرشیو ZIP مخرب را در دستگاه قربانی دانلود می‌کند. این آرشیوهای ZIP معمولاً شامل دو فایل می‌شوند: یک فایل قانونی و یک لودر Grandoreiro که مسئول دانلود، استخراج و اجرای بار نهایی Grandoreiro است.

در مورد خود بدافزار، در کمپین‌های آگوست 2022، بار نهایی یک فایل اجرایی قابل حمل فوق‌العاده بزرگ با حجم 414 مگابایت بود که با پسوند PNG  (که بعداً توسط لودر به صورت پویا به EXE تغییر نام داده شد) تغییر نام داد. با استفاده از نماد ASUS خود را به عنوان یک درایور ASUS پنهان کرد و با گواهی دیجیتال "ASUSTEK DRIVER ASSISTANTE" امضا شد. در کمپین های 2023، Grandoreiro از نمونه هایی با نرخ تشخیص نسبتاً پایین استفاده کرد. در ابتدا، ما سه نمونه مربوط به این کمپین‌ها را شناسایی کردیم که در ژوئن 2023 گردآوری شدند. همه آنها فایل‌های اجرایی پورتابل، 390 مگابایت بزرگ، با نام اصلی ATISSDDRIVER.EXE و نام داخلی ATIECLXX.EXE بودند. هدف اصلی این نمونه‌ها نظارت بر بازدید قربانیان از وبسایت مؤسسات مالی و سرقت اعتبار آنها است. این بدافزار همچنین به عوامل تهدید اجازه می‌دهد تا از راه دور ماشین‌های قربانی را کنترل کنند و تراکنش‌های جعلی را درون آن‌ها انجام دهند.

در کمپین مربوط به نمونه‌های مورد بحث، بدافزار سعی می‌کند جعل یک درایور SSD داده خارجی AMD را جعل کند و با گواهی دیجیتال «اطلاعات مشاوره» امضا می‌شود تا مشروع به نظر برسد و از شناسایی فرار کند.در هر دو مورد، بدافزار یک فایل قابل اجراست که خود را برای راه اندازی با ویندوز ثبت می‌کند. با این حال، شایان ذکر است که در اکثر حملات Grandoreiro، یک تکنیک بارگذاری جانبی DLL، با استفاده از باینری‌های قانونی که به صورت دیجیتالی برای اجرای بدافزار امضا شده‌اند، استفاده می‌شود. اندازه قابل توجه فایل‌های قابل اجرا را می‌توان با این واقعیت توضیح داد که Grandoreiro از تکنیک padding باینری برای افزایش اندازه فایل‌های مخرب به عنوان راهی برای فرار از جعبه های شنی استفاده می‌کند. برای دستیابی به این هدف، مهاجمین چندین تصویر BMP را به بخش منبع باینری اضافه می‌کنند. در کمپین‌های 2022 و 2023، Grandoreiro از یک الگوریتم رمزگذاری رشته‌ای مبتنی بر XOR استفاده کرد که با سایر خانواده‌های بدافزار برزیلی به اشتراک گذاشته شده است. تفاوت در کلید رمزگذاری است. برای Grandoreiro، برخی از ارزش‌های جادویی به شرح زیر بود:

بررسی‌ها و اعتبارسنجی‌های مختلف با هدف جلوگیری از شناسایی و پیچیده‌تر کردن تحلیل بدافزارها نیز در نسخه‌های 2022 و 2023 تغییر کردند. برخلاف کمپین‌های قدیمی Grandoreiro، متوجه شدیم که برخی از وظایفی که قبلاً توسط بار نهایی اجرا می‌شدند، اکنون در مرحله اول لودر اجرا می‌شوند. این وظایف شامل بررسی‌های امنیتی، تکنیک های ضد اشکال زدایی و موارد دیگر می‌شود. این نشان دهنده تغییر قابل توجهی نسبت به کمپین های قبلی است. یکی از این کارها استفاده از سرویس موقعیت جغرافیایی http://ip-api.com/json برای جمع‌آوری اطلاعات مکان آدرس IP هدف است. در کمپینی که در می 2023 توسط Trustwave گزارش شد، این کار توسط یک کد JScript تعبیه‌شده در نصب‌کننده MSI قبل از تحویل بار نهایی انجام می‌شود.

چک‌های متعدد دیگری نیز وجود دارند که به لودر منتقل شده اند، اگرچه برخی از آنها هنوز در خود تروجان بانکی وجود دارد. Grandoreiro اطلاعات میزبان مانند نسخه سیستم عامل، نام میزبان، اطلاعات نمایشگر، طرح بندی صفحه کلید، زمان و تاریخ فعلی، منطقه زمانی، زبان پیش فرض و نوع ماوس را جمع آوری می‌کند. سپس بدافزار نام کامپیوتر را بازیابی و آن را با رشته‌های زیر که مربوط به جعبه‌های شنی شناخته شده است مقایسه می‌کند:

WIN-VUA6POUV5UP;

Win-StephyPC3;

پخش کننده;

DESTOP2457;

JOHN-PC.

همچنین نام کاربری را جمع آوری و بررسی می کند که آیا با رشته های "John" یا "WORK" مطابقت دارد یا خیر. اگر هر یک از این اعتبارسنجی ها مطابقت داشته باشد، بدافزار اجرای خود را متوقف می‌کند.

Grandoreiro شامل شناسایی ابزارهایی می‌شود که معمولاً توسط تحلیلگران امنیتی استفاده می‌شود، مانند regmon.exe، procmon.exe، Wireshark و غیره. لیست فرآیند در نسخه‌های بدافزار متفاوت است و در سال 2024 به طور قابل توجهی گسترش یافت، بنابراین لیست کامل را بعداً در این پست به اشتراک خواهیم گذاشت. این بدافزار یک عکس فوری از فرآیندهای در حال اجرا در سیستم با استفاده از CreateToolhelp32Snapshot() API ویندوز گرفته و با استفاده از Process32First و Process32NextW از طریق لیست فرآیندها عبور می‌کند. اگر هر یک از ابزارهای تجزیه و تحلیل در سیستم وجود داشته باشد، اجرای بدافزار خاتمه می‌یابد. همچنین نام کاربری را جمع آوری و بررسی می‌کند که آیا با رشته‌های John یا  WORK مطابقت دارد یا خیر.

اگر هر یک از این اعتبارسنجی‌ها مطابقت داشته باشد، بدافزار اجرای خود را متوقف می‌کند. یکی دیگر از تکنیک‌های ضد اشکال‌زدایی که در تروجان پیاده‌سازی شده است شامل بررسی وجود یک محیط مجازی با خواندن داده‌ها از پورت I/O "0x5658h" (VX) و جستجوی شماره جادویی VMWare 0x564D5868 می‌شود. این بدافزار همچنین از تابع IsDebuggerPresent()  برای تعیین اینکه آیا فرآیند فعلی در زمینه یک اشکال زدا اجرا می‌شود استفاده می‌کند. آخرین اما نه کم‌اهمیت مورد اینکه، Grandoreiro راهکارهای ضد بدافزار مانند AVAST، Bitdefender، Nod32، Kaspersky، McAfee، Windows Defender، Sophos، Virus Free، Adaware، Symantec، Tencent، Avira، ActiveScan و CrowdStrike را جستجو می‌کند. همچنین به دنبال نرم افزارهای امنیتی بانکی مانند Topaz OFD و Trusteer می‌گردد. از نظر عملکرد اصلی، برخی از نمونه های Grandoreiro بررسی می‌کنند که آیا برنامه های زیر نصب شده اند یا خیر:

• CHROME.EXE;
• MSEDGE.EXE;
• FIREFOX.EXE;
• IEXPLORE.EXE;
• OUTLOOK.EXE;
• OPERA.EXE;
• BRAVE.EXE;
• CHROMIUM.EXE;
• AVASTBROWSER.EXE;
• VeraCrypt;
• Nortonvpn;
• Adobe;
• OneDrive;
• Dropbox.

اگر هر یک از اینها در سیستم وجود داشته باشد، بدافزار نام آنها را ذخیره می‌کند تا بر فعالیت کاربر در آنها نظارت کند. Grandoreiro همچنین کیف پول های رمزنگاری نصب‌شده روی دستگاه آلوده را بررسی می‌کند. این بدافزار شامل یک جایگزین کلیپ بورد برای کیف پول‌های رمزنگاری، نظارت بر فعالیت کاربر در کلیپ بورد و جایگزینی داده‌های کلیپ بورد با کلیدهای عامل تهدید می‌شود.

کمپین‌های 2024

در طول دوره خاصی در فوریه 2024، چند روز بعد از اعلام دستگیری برخی اعضای این گنگ در برزیل شاهد افزایش چشمگیری در ایمیل‌هایی شدیم که دام اسپم شناسایی شدند. شیوع قابل توجهی از پیام‌های با مضمون Grandoreiro وجود داشت که به عنوان ارتباطات CFDI مکزیکی ظاهر می‌شدند. CFDI مکزیکی، مخفف Comprobante Fiscal Digital por Internet یک سیستم صورتحساب الکترونیکی است که توسط اداره مالیات مکزیک یا SAT اداره می‌شود. این امر ایجاد، انتقال و ذخیره اسناد مالیاتی دیجیتال را تسهیل می‌کند، که برای مشاغل مکزیک برای ثبت تراکنش‌ها برای اهداف مالیاتی اجباری است. در تحقیقات خود، ما 48 نمونه مرتبط نه تنها با این نمونه، بلکه با کمپین‌های مختلف دیگر را نیز به دست آورده‌ایم. نکته قابل‌توجه این است که این کمپین جدید یک مکانیسم شناسایی جعبه ایمنی جدید، یعنی یک CAPTCHA قبل از اجرای بار اصلی، به عنوان راهی برای جلوگیری از تجزیه و تحلیل خودکار مورد استفاده توسط برخی شرکت‌ها اضافه کرد.

شایان ذکر است که در کمپین‌های 2024 Grandoreiro، کد فرار جدید سندباکس در دانلودبار پیاده سازی شده است. گرچه نمونه اصلی هنوز قابلیت ضد سندباکسی دارد اما اگر سندباکس شناسایی شود،  براحتی دانلود نمی‌شود. جدا از این، نسخه جدید همچنین شناسایی بسیاری از ابزارها را به زرادخانه خود اضافه کرده آن هم با هدف جلوگیری از تحلیل. اینها برخی از ویژگی های RAT هستند که در این نسخه یافتیم:

•         ویژگی به‌روزرسانی خودکار به نسخه‌های جدیدتر بدافزار اجازه می‌دهد تا در دستگاه قربانی مستقر شوند.
•         شناسایی Sandbox/AV، هنوز در ماژول اصلی وجود دارد که شامل ابزارهای بیشتری نسبت به نسخه‌های قبلی می‌شود.
•         ویژگی کی‌لاگر
•         امکان انتخاب کشور برای لیست قربانیان.
•         شناسایی راهکارهای امنیتی بانکی؛
•         بررسی اطلاعات موقعیت جغرافیایی برای اطمینان از اجرای آن در کشور هدف؛
•         نظارت بر ایمیل های Outlook برای کلمات کلیدی خاص؛
•         امکان استفاده از Outlook برای ارسال ایمیل‌های اسپم.

از نظر حفاظت از تجزیه و تحلیل استاتیک، در نسخه‌های 2024، Grandoreiro اقدامات رمزگذاری پیشرفته را اجرا کرده است. گراندوریرو با جدا شدن از اتکای قبلی خود به الگوریتم‌های رمزگذاری مشترک که در سایر بدافزارها یافت می‌شود، اکنون یک رویکرد رمزگذاری چند لایه را اتخاذ کرده است. فرآیند رمزگشایی در نسخه های جدیدتر به شرح زیر است. در ابتدا، رشته از طریق یک الگوریتم جایگزینی ساده دچار ابهام زدایی می‌شود. به دنبال این، Grandoreiro از الگوریتم رمزگذاری مبتنی بر XOR و تفریق شرطی که معمولاً توسط بدافزار برزیلی استفاده می‌شود، استفاده می‌کند. با این حال، با ترکیب یک رشته طولانی 140759 بایتی به جای رشته‌های جادویی کوچکتر که در نمونه های 2022 و 2023 دیدیم، با آنها متفاوت است. متعاقباً، رشته رمزگشایی شده قبل از اینکه در معرض رمزگشایی از طریق الگوریتم AES-256 قرار گیرد، تحت رمزگشایی پایه 64 قرار می‌گیرد. قابل ذکر است، کلید AES و IV در کد Grandoreiro رمزگذاری شده‌اند. پس از انجام تمام این مراحل، رشته رمزگشایی شده با موفقیت بازیابی می‌شود.

در نمونه‌های جدیدتر، Grandoreiro دوباره الگوریتم رمزگذاری را با استفاده از AES با CTS یا سرقت متن رمزگذاری، یک حالت رمزگذاری تخصصی که زمانی که متن ساده مضربی از اندازه بلوک نیست، که در این مورد 128 بیت (16 بایت) است، استفاده می‌شود، ارتقا داد. اندازه بلوک مورد استفاده شده توسطAES.  برخلاف طرح‌های رایج‌تر padding، مانند PKCS#7، که در آن بلوک نهایی با بایت‌های اضافی پر می‌شود تا اطمینان حاصل شود که با یک بلوک کامل مطابقت دارد، CTS بدون padding عمل می‌کند. در عوض، بلوک جزئی نهایی داده را با رمزگذاری آخرین بلوک کامل و XOR کردن خروجی آن با بلوک جزئی دستکاری می‌کند. این اجازه می‌دهد تا هر ورودی با طول دلخواه را بدون اضافه کردن بایت های اضافی، رمزگذاری و اندازه اصلی داده‌ها را حفظ کنید.

در مورد Grandoreiro، روال رمزگذاری بدافزار، بالشتک استاندارد را به بلوک‌های ناقص داده اضافه نمی‌کند. هدف اصلی آنها پیچیده کردن تجزیه و تحلیل است: برای فهمیدن اینکه از CTS استفاده شده است، زمان بیشتری لازم است، و سپس زمان بیشتری برای پیاده سازی رمزگشایی در این حالت، که استخراج و مبهم سازی رشته ها را پیچیده تر می‌کند. این اولین بار است که این روش خاص در یک نمونه بدافزار مشاهده شده. از آنجایی که عوامل تهدید به تکامل تکنیک‌های خود ادامه  و رمزگذاری را در هر تکرار بدافزار تغییر می‌دهند، استفاده از CTS در بدافزار ممکن است نشان دهنده تغییر به سمت شیوه‌های رمزگذاری پیشرفته‌تر باشد.

نسخه‌های لوکال: قدیمی‌ها به مصاف جدیدترها می‌روند

در کمپین اخیر تحلیل ما نشان داد سویه قدیمی‌تری از بدافزار هست که از کلیدهای رمزگذاری قدیمی استفاده می‌کند؛ همینطور از الگوریتم‌های از رده خارج و ساختار ساده که به موازات کمپین با استفاده از کد جدید پیش می‌رود. این سویه بانک‌های معدودی را تارگت قرار می‌دهد- حدود 30 مؤسسه مالی بیشتر از مکزیک. این تحلیل واضحاً نشان می‌دهد توسعه‌دهنده دیگری احتمالاً با دسترسی به کد منبع قدیمی‌تر دارد با استفاده از نسخه قدیمی این بدافزار، کمپین‌های جدیدتری را هدایت و رهبری می‌کند.

اپراتورهای پشت Grandoreiro به طیف گسترده‌ای از دستورات از راه دور مجهز هستند، از جمله گزینه‌ای برای قفل کردن صفحه کاربر و ارائه یک تصویر سفارشی (پوشش) برای درخواست اطلاعات اضافی از قربانی. اینها معمولاً OTP  (گذرواژه های یکبار مصرف)، رمزهای عبور تراکنش یا توکن های دریافت شده توسط پیامک هستند که توسط مؤسسات مالی ارسال می‌شوند. تاکتیک جدیدی که در جدیدترین نسخه‌های موجود در جولای 2024 کشف کرده‌ایم و بعداً نشان می‌دهد که این بدافزار الگوهای ورودی کاربر، به‌ویژه حرکات موس را برای دور زدن سیستم‌های امنیتی مبتنی بر یادگیری ماشین ضبط می‌کند. دو رشته خاص در بدافزار یافت شد -  GRAVAR_POR_5S_VELOCIDADE_MOUSE_CLIENTE_MEDIA  (ضبط به مدت 5 ثانیه میانگین سرعت موس مشتری  و  Medição iniciada, aguarde 5 segundos (اندازه گیری شروع شد، لطفاً 5 ثانیه صبر کنید!) - نشان می‌دهد Grandoreiro در مدت کوتاهی فعالیت ماوس کاربر را نظارت و ضبط می‌کند.

به نظر می رسد این رفتار تلاشی برای تقلید از تعاملات مشروع کاربر به منظور اجتناب از شناسایی توسط سیستم‌های ضد کلاهبرداری و راهکارهای امنیتی است که بر تجزیه و تحلیل رفتاری متکی هستند. ابزارهای مدرن امنیت سایبری، به ویژه آنهایی که توسط الگوریتم‌های یادگیری ماشینی طراحی شده‌اند، رفتار کاربر را تجزیه و تحلیل می‌کنند تا بین کاربران انسانی و ربات‌ها یا اسکریپت‌های بدافزار خودکار تمایز قائل شوند. Grandoreiro با گرفتن و احتمالاً بازپخش این الگوهای حرکت طبیعی موس، می‌تواند این سیستم‌ها را فریب دهد تا فعالیت‌ها را قانونی تشخیص دهند، بنابراین برخی از کنترل‌های امنیتی را دور می‌زنند. این کشف تکامل مدامِ بدافزاری چون Grandoreiro را نشان می‌دهد؛ جایی که مهاجمین دارند به طور فزاینده‌ای تاکتیک‌هایی را که برای مبارزه با راهکارهای امنیتی مدرن طراحی شدند (و روی بیومتریک و یادگیری ماشین تکیه دارند) تزریق می‌کنند و به کار می‌بندند. برای خالی کردن حساب قربانی، گزینه‌هایی که در اختیار عاملین Grandoreiro قرار دارد عبارتند از انتقال پول به حساب قاطرهای محلی پول با استفاده از اپ‌های انتقال وجه، خرید رمزارز یا کارت هدیه یا حتی رفتن به خودپرداز. معمولاً آن‌ها در کانال‌های تلگرامی به دنبال قاطر پول می‌گردند و روزانه 200 تا 500 دلار می‌پردازند.

زیرساخت

جدیدترین نسخه  Grandoreiro  از سه الگوریتم‌ تولید دامنه برای تولید دامنه‌های معتبر برای ارتباطات C2 استفاده می‌کند. این الگوریتم از روز جاری برای انتخاب رشته‌هایی از لیست‌های از پیش تعریف شده استفاده و آنها را با یک کلید جادویی برای ایجاد دامنه نهایی به هم متصل می‌کند. با ایجاد نام‌های دامنه منحصر به فرد به طور دینامیک بر اساس داده های ورودی مختلف، این الگوریتم استراتژی های مسدودسازی سنتی مبتنی بر دامنه را پیچیده می‌کند. این سازگاری به عوامل مخرب اجازه می‌دهد تا ارتباطات فرماندهی و کنترل مداوم را حفظ کنند، حتی زمانی که دامنه‌های خاصی شناسایی شده و در لیست سیاه قرار می‌گیرند، که نیازمند راهکارهای امنیتی است تا حفاظت خود را نه بر اساس فهرست ثابتی از دامنه‌ها، بلکه بر اساس الگوریتمی برای تولید آنها انجام دهند. از اوایل سال 2022، Grandoreiro از یک مؤلفه دلفی شناخته‌شده به اشتراک گذاشته شده در بین خانواده‌های مختلف بدافزار به نام RealThinClient SDK استفاده می‌کند تا از راه دور به ماشین‌های قربانی دسترسی داشته باشد و اقدامات متقلبانه انجام دهد. این SDK یک چارچوب انعطاف‌پذیر و ماژولار برای ساخت برنامه‌های کاربردی HTTP/HTTPS ویندوز قابل اعتماد و مقیاس‌پذیر با دلفی است. با استفاده از RealThinClient SDK، این برنامه می‌تواند هزاران اتصال فعال را به صورت کارآمد چند رشته ای مدیریت کند.

ابزار اپراتور

Grandoreiro's Operator ابزاری است که به مجرمان سایبری اجازه می‌دهد از راه دور به دستگاه قربانی دسترسی داشته باشند و آن را کنترل کنند. این یک نرم‌افزار مبتنی بر دلفی است که قربانیان خود را هر زمان که شروع به مرور وب‌سایت مؤسسه مالی هدفمند می‌کنند فهرست می‌کند. وقتی مجرم سایبری قربانی را برای انجام عملیات انتخاب می‌کند، صفحه‌ای برایشان می‌آید که اجازه اجرای خیلی فرمان‌ها و مجسم‌سازی دسکتاپ قربانی را می‌دهد.

وی‌پی‌اس کلود

یکی از ویژگی‌های نادیده گرفته‌شده بدافزار Grandoreiro چیزی است که توسط مهاجمین Cloud VPS نامیده می‌شود - به مجرمان سایبری اجازه می‌دهد تا یک رایانه دروازه بین دستگاه قربانی و اپراتور بدافزار راه‌اندازی کنند، بنابراین آدرس IP واقعی مجرم سایبری مخفی می‌شود.  این نیز توسط آنها برای سخت‌تر کردن بررسی استفاده می‌شود، زیرا اولین چیزی که به آن اشاره شد آدرس IP دروازه است. هنگام درخواست حمله، محقق فقط ماژول دروازه را پیدا می‌کند. در همین حال، جنایتکار قبلاً یک دروازه جدید در جایی دیگر راه‌اندازی کرده است و قربانیان جدید از طریق DGA خود به دروازه جدید متصل می‌شوند.

قربانی‌ها و تارگت‌ها

تروجان بانکی Grandoreiro برای سرقت اعتبار حساب‌های 1700 موسسه مالی، واقع در 45 کشور و منطقه، آماده است. پس از رمزگشایی رشته‌های بدافزار، می‌توانیم بانک‌های هدف فهرست‌شده را به تفکیک کشورها/سرزمین‌ها ببینیم. این بدان معنا نیست که Grandoreiro یک بانک خاص را از لیست هدف قرار خواهد داد. این بدان معناست که اگر شریک محلی یا قاطر پولی وجود داشته باشد که بتواند عملیات را عملیاتی و تکمیل کند، آماده است تا اعتبارنامه‌ها را بدزدد و اقدام کند. بانک های مورد هدف Grandoreiro در الجزایر، آنگولا، آنتیگوا و باربودا، آرژانتین، استرالیا، باهاما، باربادوس، بلژیک، بلیز، برزیل، کانادا، جزایر کیمن، شیلی، کلمبیا، کاستاریکا، جمهوری دومینیکن، اکوادور، اتیوپی، فرانسه غنا، هائیتی، هندوراس، هند، ساحل عاج، کنیا، مالت، مکزیک، موزامبیک، نیوزیلند، نیجریه، پاناما، پاراگوئه، پرو، فیلیپین، لهستان، پرتغال، آفریقای جنوبی، اسپانیا، سوئیس، تانزانیا، اوگاندا، بریتانیا ، اروگوئه، ایالات متحده آمریکا و ونزوئلا قرار دارند.  توجه به این نکته مهم است که لیست بانک‌ها و مؤسسات هدف از یک نسخه به نسخه دیگر کمی تغییر می‌کند. از ژانویه تا اکتبر 2024، راهکارهای ما بیش از 150 هزار عفونت را که روی بیش از 30 هزار کاربر در جهان اثر گذاشته بود بلاک کردند؛ این نشان بزرگی است که گروه هنوز فعال است. طبق تله‌متری ما، کشورهایی که بیشترین ضربه را از Grandoreiro دیدند، مکزیک، برزیل، اسپانیا و آرژانتین (از میان موارد دیگر) هستند.

نتیجه‌گیری

درک می‌کنیم که چقدر ریشه‌کن کردن خانواده بدافزار سخت است اما ممکن است عملیات‌شان را با همکاری مجریان قانون و بخش خصوصی کُند کرد- جرایم سایبری مالی مدرن می‌توانند و باید که بتوانند در این راه مبارزه کنند. تروجان‌های بانکی برزیلی همین الان تهدید اطلاعاتی محسوب می‌شوند؛ آن‌ها در حال پر کردن شکاف‌های باقی مانده از باندهای اروپای شرقی هستند که به باج‌افزار مهاجرت کرده اند. می‌دانیم در برخی کشورها، بانکداری اینترنتی در دسکتاپ‌ها رو به کاهش است و همین باعث شده Grandoreiro شرکت‌ها و نهادهای دولتی را که هنوز ای نشیوه عملیاتی را دارند هدف قرار دهد. عاملین تهدید پشت بدافزار بانکداری Grandoreiro همواره در حال تکمیل و ابداع تاکتیک‌های خود هستند تا با موفقیت حملات خود را علیه تارگت‌هایشان و نیز طفره رفتن از راهکارهای امنیتی پیش ببرند. کسپرسکی هنوز با اینترپل و سایر آژانس‌ها در سراسر جهان در حال همکاری است تا کاربران بانکداری آنلاین را از شر Grandoreiro خلاص کند. این تهدید توسط محصولات کسپرسکی با عناوین HEUR:Trojan-Banker.Win32.Grandoreiro، Trojan-Downloader.OLE2.Grandoreiro، Trojan.PDF.Grandoreiro و Trojan-Downloader.Win32.Grandoreiro شناسایی شده است.

شاخص‌های دستکاری

مبتنی بر میزبانی

f0243296c6988a3bce24f95035ab4885
dd2ea25752751c8fb44da2b23daf24a4
555856076fad10b2c0c155161fb9384b
49355fd0d152862e9c8e3ca3bbc55eb0
43eec7f0fecf58c71a9446f56def0240
150de04cb34fdc5fd131e342fe4df638
b979d79be32d99824ee31a43deccdb18

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.