Windows-троян Grandoreiro вернулся с прицелом на 1500 банков в 60 странах

Windows-троян Grandoreiro вернулся с прицелом на 1500 банков в 60 странах

Windows-троян Grandoreiro вернулся с прицелом на 1500 банков в 60 странах

Через два месяца после разгромной акции правоохраны операторы трояна Grandoreiro возобновили атаки. Новый список целей зловреда включает приложения более 1500 банков, работающих в 60 странах.

Банковский троян Grandoreiro вначале распространялся только на территории Латинской Америки, затем объявился также в Португалии и Испании. Дальнейшее расширение географии, по всей видимости, вызвано попыткой бразильских властей ликвидировать инфраструктуру Windows-вредоноса в минувшем январе.

В IBM X-Force проанализировали обнаруженные в марте образцы агрессивного банкера и обнаружили, что вредоноса значительно усовершенствовали. Вирусописатели усложнили расшифровку строк кода, переработали DGA-генератор доменов, используемый для связи с C2 (он теперь выдает больше десятка вариантов в сутки), и добавили возможность дальнейшего распространения инфекции через Microsoft Outlook.

 

Атаки, как и прежде, начинаются с поддельного письма с вредоносной ссылкой. Сообщения написаны от имени местного госоргана (чаще всего налоговой службы), загружаемый по URL файл замаскирован под инвойс или другой неоплаченный счет.

Доставка целевого зловреда при этом осуществляется в несколько этапов. После клика по ссылке отрабатывает редирект на изображение с PDF-иконкой, затем на машину загружается ZIP весом более 100 Мбайт с кастомным лоадером Grandoreiro (размер архивного файла умышленно раздут в попытке обхода антивирусов).

Загрузчик при запуске проверяет окружение на наличие песочниц, собирает информацию о зараженном хосте, отправляет ее на C2-сервер и ждет дальнейших инструкций. Если жертва находится в России, Чехии, Польше или использует Windows 7 на территории США, дальнейшее выполнение программы прекращается; в противном случае на машину загружается целевой банкер.

Список команд, поддерживаемых Grandoreiro, разнообразен. Вредонос умеет открывать удаленный доступ к системе, выполнять операции с файлами, включать особые режимы. В частности, ему придан новый модуль для сбора данных из Outlook и рассылки вредоносного спама с аккаунта жертвы.

Взаимодействие с локальным клиентом Microsoft Outlook осуществляется с использованием Outlook Security Manager — софта для создания дополнений. Такой трюк позволяет обмануть охранника Outlook Object Model Guard, выводящего предупреждения при попытках доступа к защищенным объектам.

Новый модуль, видимо, часто пускается в ход: эксперты фиксируют большие объемы почтового спама, генерируемого Grandoreiro.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские компании ждут камбэк Zoom и Teams, но 43% уже мигрируют

ИТ-руководители 200 крупных и средних российских компаний рассказали, как устроены их корпоративные коммуникации и какие решения они используют. Исследование провели «Инфосистемы Джет» совместно с Издательством «Открытые системы».

Главный вывод: бизнес по-прежнему считает корпоративные коммуникации критически важными — 59% участников исследования оценили их значимость как высокую, ещё 31% — как среднюю.

Особенно это актуально для крупных компаний с распределёнными командами и сложными цифровыми цепочками взаимодействий.

Российские решения набирают вес, но доверие к ним пока ограничено

После ухода иностранных поставщиков программного обеспечения многие компании оказались перед выбором: остаться на старых системах без поддержки или переходить на отечественные аналоги. По данным исследования, 43% уже находятся в процессе миграции, а ещё 28% рассматривают переход в ближайшее время.

При этом почти половина респондентов признались, что продолжат использовать иностранные продукты, если появится такая возможность.

 

«Многие компании ждут возвращения зарубежных вендоров, но остальные уже планируют будущее с российским ПО. Исследование подтвердило, что системы коммуникаций имеют высокую бизнес-критичность и требуют экосистемного подхода», — отметил Яков Шапиро, руководитель направлений мультимедиа и UC «Инфосистемы Джет».

Разделение подходов: единая платформа или комбинация инструментов

Мнения ИТ-директоров по поводу стратегии развития корпоративных коммуникаций разделились почти поровну: 50% выступают за единую платформу, объединяющую звонки, мессенджеры и видеосвязь, 46% предпочитают использовать разные решения под конкретные задачи.

В инфраструктуре компаний наблюдается смешанная картина: российские ВКС-системы лидируют (55%), тогда как среди мессенджеров преобладают зарубежные решения (42%).

Что ждут от разработчиков

По словам аналитика Николая Смирнова, рынок сейчас находится в состоянии «ожидания»:

«Компаний, готовых на радикальные шаги, немного. Большинство заняли выжидательную позицию — следят за развитием отечественных решений, но не готовы становиться тестовой площадкой для сырых технологий. При этом все надеются на рывок российских разработчиков».

Эксперты прогнозируют, что следующим шагом станет активное внедрение ИИ-инструментов в корпоративные коммуникации — автоматическая расшифровка встреч, создание протоколов и появление виртуальных помощников. Такие функции могут стать конкурентным преимуществом российских платформ и ускорить переход бизнеса на локальные решения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru