29 april 2020 13:53

Een trojan die de coronaviruspandemie misbruikt: ESET onderzoekt Grandoreiro

BRATISLAVA, PRAAG, april 2020 – Als onderdeel van een onderzoek naar een reeks banktrojans in Latijns-Amerika, doet ESET diepgaand onderzoek naar Grandoreiro. Deze trojan richt zich niet enkel op Brazilië, Mexico en Peru, maar ook op gebruikers uit Spanje. Nagenoeg uitsluitend door spam verspreid, maakt het sinds kort gebruik van fake websites die profiteren van de wereldwijde coronaviruspandemie. Grandoreiro demonstreert de constante inspanning van zijn daders om aan detectie te ontsnappen.

Hoewel ESET kon vaststellen dat Grandoreiro voornamelijk door spam wordt verspreid, terwijl de daders over het algemeen een nep-Java- of Flash-update gebruiken, kon onlangs in verband met COVID-19 een overstap naar scams worden vastgesteld. De trojan verstopt zich in video’s op fake websites die zeer interessante informatie over het coronavirus beloven. Maar door het klikken op de video, in plaats van informatie te doen verschijnen, wordt een payload op de apparaten van bezoekers gedownload.

Grandoreiro is minstens sinds 2017 actief in Brazilië en Peru en breidde in 2019 uit naar Mexico en Spanje. Net als bij andere Latijns-Amerikaanse banktrojans in deze serie, valt Grandoreiro zijn slachtoffers aan door fake pop-ups weer te geven om hen te verleiden gevoelige informatie vrij te geven.

Warmtekaart met de detecties van Grandoreiro door ESET.

De functionaliteit van de Grandoreiro-achterdeur omvat: manipuleren van websites; zichzelf updaten; het vastleggen van toetsaanslagen; muis- en toetsenbordacties simuleren; browsers navigeren naar gekozen URL’s; machines uitloggen en heropstarten en de toegang tot websites blokkeren. Grandoreiro verzamelt allerlei informatie over de geïnfecteerde machines. In sommige versies steelt het ook inloggegevens opgeslagen zowel in Google Chrome als in Microsoft Outlook-browsers.

“Voor een Latijns-Amerikaanse banktrojan gebruikt Grandoreiro een verrassend groot aantal trucs om aan detectie en imitatie te ontsnappen. Dit omvat vele technieken voor het detecteren of zelfs uitschakelen van software voor bankbescherming, ” zegt Robert Šuman, de onderzoeker die het analyseteam van Grandoreiro leidt. “Het ziet ernaar uit dat ze deze banktrojan heel snel ontwikkelen.

Vrijwel elke nieuwe versie die we zien, introduceert nieuwe wijzigingen. We vermoeden dat ze minstens twee varianten simultaan ontwikkelen. ” Hij verduidelijkt: “ Op technisch vlak is het ook interessant te zien dat ze een zeer specifieke toepassing van de binaire vultechniek gebruiken, waardoor het moeilijk is om dit te verwijderen met behoud van een geldig bestand. “

In tegenstelling tot de meeste banktrojans uit Latijns-Amerika, gebruikt Grandoreiro kleinere distributieketens. Afhankelijk van de campagne kan hij een ander type downloader kiezen. Deze downloaders worden vaak opgeslagen op populaire online deelservices zoals GitHub, Dropbox, Pastebin, 4shared of 4Sync.

Mogelijke manieren waarop Grandoreiro-distributieketens kunnen verschijnen

Voor meer technische details over Grandoreiro, lees de blogpost blog “Grandoreiro: How engorged can an EXE get?” https://www.welivesecurity.com/2020/04/28/grandoreiro-how-engorged-can-exe-get/ . Volg ook ESET research on Twitter voor de nieuwste info van ESET Research.