แคมเปญล่าสุดของมัลแวร์ Grandoreiro banking trojan กำลังมุ่งเป้าโจมตีไปยังบริษัทที่อยู่ในประเทศเม็กซิโก และสเปน

Zscaler ระบุในรายงานว่า “แคมเปญนี้ กลุ่มแฮ็กเกอร์จะปลอมตัวเป็นเจ้าหน้าที่ของรัฐจากสำนักงานอัยการสูงสุดแห่งเม็กซิโกซิตี้ และใช้การโจมตีในรูปแบบ spear-phishing emails โดยจะหลอกล่อเหยื่อให้ดาวน์โหลด 'Grandoreiro' ซึ่งเป็น banking trojan ที่มีการใช้งานมาตั้งแต่ปี 2559 โดยมีเป้าหมายเพื่อโจมตีผู้ใช้งานในละตินอเมริกาโดยเฉพาะ”

การโจมตีเริ่มเกิดขึ้นอย่างต่อเนื่องตั้งแต่เดือนมิถุนายน พ.ศ. 2565 ซึ่งมีเป้าหมายเป็นกลุ่ม ยานยนต์ โยธา และอุตสาหกรรมการก่อสร้าง โลจิสติกส์ และ ประเภทเครื่องจักรต่างๆ ผ่านเครือข่ายขององค์กรหลายแห่งในเม็กซิโก และอุตสาหกรรมการผลิตสารเคมีในสเปน

การโจมตีเครือข่ายขององค์กรนั้นแฮ็กเกอร์เลือกใช้วิธี spear-phishing ที่เป็นภาษาสเปน ซึ่งข้อความใน Email จะเกี่ยวข้องกับการขอคืนเงิน การแจ้งเตือนการดำเนินคดี การยกเลิกสินเชื่อ เพื่อทำให้เหยื่อสนใจ และทำการโหลดไฟล์ ZIP ที่แนบมากับ Email โดยในไฟล์ ZIP จะมีไฟล์ PDF ที่ทำให้เหยื่อติดมัลแวร์ได้

Niraj Shivtarkar นักวิจัยของ Zscaler ได้กล่าวว่า “PDF ไฟล์จะมีหน้าที่ในการดาวน์โหลด แตกไฟล์ และติดตั้งเพย์โหลดของ Grandoreiro ขนาด 400 MB จากเซิร์ฟเวอร์ภายนอก และใช้เป็นช่องทางการเชื่อมต่อในรูปแบบ C2 เซิร์ฟเวอร์ในลักษณะคล้ายๆกับ LatentBot”

ตัวมัลแวร์ยังถูกออกแบบมาเพื่อรวบรวมข้อมูลสำคัญต่างๆ ทั้งโปรแกรมป้องกันมัลแวร์ที่ถูกติดตั้งไว้บนเครื่องเหยื่อ กระเป๋าเงินคริปโต แอพธนาคาร และข้อมูลใน Email จากนั้นจะรวบรวมข้อมูลเหล่านี้ส่งกลับไปยัง C2 เซิร์ฟเวอร์

Grandoreiro เป็น backdoor ที่มีฟังก์ชันการบันทึกการกดแป้นพิมพ์ เก็บข้อมูลรูปแบบการเคลื่อนไหวของเมาส์ และแป้นพิมพ์ จำกัดการเข้าถึงบางเว็บไซต์ อัปเดตตัวเองอัตโนมัติ และทำให้ตัวมันสามารถแฝงตัวอยู่บนระบบด้วยการเปลี่ยนแปลง Registry ของ Windows

โดยมันถูกเขียนขึ้นโดยใช้ภาษา Delphi ใช้ CAPTCHA สำหรับหลีกเลี่ยงการวิเคราะห์จาก sandbox และใช้โดเมนที่สร้างขึ้นโดย domain generate algorithm (DGA) เป็น C2 เซิร์ฟเวอร์

จากรายงานทำให้เห็นว่า Grandoreiro กำลังมีการพัฒนาอย่างต่อเนื่อง ทำให้มันเป็นมัลแวร์ที่มีความซับซ้อน และสามารถหลีกเลี่ยงการถูกตรวจจับได้เป็นอย่างดี

การพัฒนาดังกล่าวเกิดขึ้นเพียง 1 ปีหลังจากที่หน่วยงานบังคับใช้กฎหมายของสเปนจับกุมบุคคล 16 รายที่มีส่วนเกี่ยวข้องกับปฏิบัติการของ Mekotio และ Grandoreiro ในเดือนกรกฎาคม 2564

ที่มา: thehackernews

Zscaler ได้กล่าวในรายงานถึงเว็บไซต์ที่ปลอมเป็นหน้าดาวน์โหลด official Microsoft Windows 11 เวอร์ชันล่าสุด ที่ถูกสร้างขึ้นเพื่อแจกจ่ายไฟล์ ISO ที่เป็นอันตราย และติดตั้งมัลแวร์ Vidar info-stealer ที่เครื่องปลายทาง และมัลแวร์ Vidar เหล่านี้ยังดึงข้อมูล C2 configuration จากโฮสต์ social media channels ที่ควบคุมโดยผู้โจมตี บนเครือข่าย Telegram และ Mastodon

เมื่อวันที่ 20 เมษายนที่ผ่านมา ผู้โจมตีได้ลงทะเบียนโดเมนหลายโดเมนที่ใช้ในการกระจายมัลแวร์ โดยรายชื่อโดเมนทั้งหมดที่มีการเชื่อมโยงกับผู้โจมตีจะระบุอยู่ในส่วน Indicators of Compromise (IOC) ด้านล่างของรายงานนี้

บริษัทรักษาความปลอดภัยทางไซเบอร์ยังเตือนถึงการโจมตีของผู้โจมตีซึ่งนอกจากการแพร่กระจายไฟล์ .ISO แล้ว ยังแอบใช้ประโยชน์จาก Adobe Photoshop และซอฟต์แวร์ที่มีการใช้งานตามปกติอื่นๆ เช่น Microsoft Teams เพื่อส่งมัลแวร์ Vidar อีกด้วย

ในส่วนของไบนารีในไฟล์ ISO เป็นไบนารี PE32 และมีขนาดไฟล์ที่ใหญ่ผิดปกติ (มากกว่า 300 MB) ซึ่งจะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยของเครือข่ายที่มีการจำกัดขนาดไฟล์ได้ และไบนารีในไฟล์ ISO ได้ signed ด้วยใบรับรองที่หมดอายุจาก Avast ซึ่งมีแนวโน้มว่าจะถูกขโมยหลังจากการโจมตีในเดือนตุลาคม 2019

(more…)