0371-61732533
0371-61732533
发布时间:2024-06-28 浏览次数: 次
Grandoreiro Banking是一种恶意软件,被归类为银行木马(Banking Trojan)。它最初在巴西被发现,并迅速扩散到其他国家。该木马的主要目标是窃取用户的银行凭据和敏感信息,以进行金融欺诈活动。
一、基本内容
根据IBM的报告,Grandoreiro是一种银行木马程序,最近在多个新的攻击活动中重新出现并增强了其功能。这种恶意软件冒充墨西哥税务管理局、联邦电力公司、行政财务秘书以及阿根廷和南非国家税务局等机构进行网络钓鱼攻击。
攻击者通过向收件人发送电子邮件,并引导他们点击链接来查看发票、费用、账单或进行付款等操作。如果受害者位于特定国家(如墨西哥、智利、西班牙、哥斯达黎加、秘鲁或阿根廷),他们将被重定向到一个PDF图标的图像,并在后台下载一个ZIP文件。这个大型(100MB)的ZIP文件实际上是Grandoreiro的加载器,创建日期通常是电子邮件发送前一天或当天。
Grandoreiro恶意软件至少从2017年开始存在,但此前主要限制在说西班牙语的国家。今年初,国际执法部门采取行动打击该恶意软件,逮捕了数名嫌疑人,据称Grandoreiro造成了大约1.2亿美元的损失。
新版本的Grandoreiro是一个模块化的恶意软件操作系统,可能作为一种服务提供。它能够攻击超过60个国家和地区的1500多个全球银行应用程序和网站。最新版本更新了字符串解密和DGA计算算法,使其每天能够与至少12个不同的指挥和控制(C2)域通信。此外,还新增了一些功能,允许通过从有针对性的电子邮件客户端窃取受害者数据来更有效地传播。
Grandoreiro内部实施了至少三种机制来收集和泄露电子邮件地址,并利用本地Outlook客户端发送大量垃圾邮件,以在感染的受害者邮箱中传播恶意软件。
IBM警告称,Grandoreiro背后的黑客正在寻求在全球范围内进行恶意攻击活动,而且他们不断更新该恶意软件的功能,并增加目标银行应用程序的数量。
二、分析研判
Grandoreiro恶意软件已经在几个新的攻击活动中重新出现,并且其功能得到增强。这表明黑客持续改进和演进这种恶意软件,以适应不断变化的安全防御措施。
攻击者使用冒充墨西哥税务管理局、联邦电力公司和其他机构的方式进行网络钓鱼攻击。这种社会工程手法通过引诱收件人点击链接来欺骗他们输入敏感信息或下载恶意文件。
Grandoreiro通过重定向用户到一个PDF图标的图像,并在后台下载一个ZIP文件来传播。该ZIP文件包含一个伪装成PDF图标的大型可执行文件,即Grandoreiro的加载器。这种方式使攻击者能够在用户不知情的情况下植入恶意软件。
更新的Grandoreiro具有模块化的操作系统,可以攻击超过60个国家和地区的1500多个全球银行应用程序和网站。这显示出黑客正在寻求在全球范围内扩大其攻击活动,并且他们越来越专注于银行和金融机构。
最新版本的Grandoreiro更新了字符串解密和DGA计算算法,每天能够联系至少12个不同的指挥和控制(C2)域。这使得恶意软件更难被检测和追踪,并增加了攻击者对受害者的控制能力。
Grandoreiro利用多种机制收集和泄露电子邮件地址,其中包括使用本地Outlook客户端发送垃圾邮件的方式。这表明该恶意软件具有广泛的传播能力,并可能导致大量垃圾邮件的产生。
IBM X-Force警告称,Grandoreiro背后的黑客正在寻求在全球范围内进行恶意攻击活动。这一点显示出恶意软件的威胁程度不断增加,并且需要采取有效的安全措施来保护用户和组织的资产和数据。
综上所述,Grandoreiro是一种危险的银行木马程序,其最新版本已经变得更加复杂和隐蔽。它通过钓鱼攻击和社会工程手法来欺骗用户,并通过从受害者邮箱中传播垃圾邮件来扩大影响范围。用户和组织应当保持警惕,采取必要的安全措施以防止受到Grandoreiro等恶意软件的攻击。
三、应对策略
意识提升和培训:组织和个人应该接受关于网络钓鱼和恶意软件的培训,以了解常见的欺骗手段和如何辨别可疑的链接或附件。通过提高警觉性,可以减少成功的钓鱼攻击。
强化密码和多因素身份验证:使用强密码,并确保在可能的情况下启用多因素身份验证。这样即使密码被盗取,黑客也无法轻易访问受保护的账户。
安全软件和更新:安装并定期更新防病毒软件、防火墙和其他安全工具。这可以帮助检测和阻止恶意软件的入侵。
谨慎点击链接和下载附件:对于来自不明或可疑来源的电子邮件,特别是要求点击链接或下载附件的邮件,应持谨慎态度。确保链接的真实性,避免随意下载未知来源的文件。
维护备份和紧急响应计划:定期备份重要数据,并确保备份独立于主系统。同时,建立一个紧急响应计划,以便在受到攻击时能够快速采取适当的措施来降低损失。