סוס טרויאני המתמחה בגניבת פרטי בנק חוזר למסע תקיפות למרות מעצרים רבים

image provided by pixabay

This post is also available in: English (אנגלית)

חוקרים מציגם כי למרות שננקטו אמצעים רבים נגד נוזקת הסוס הטרויאני Grandoreiro המתמחה בגניבת פרטי בנק, הוא חזר ותקף באופן פעיל 1500 בנקים ברחבי העולם.

סוס טרויאני Grandoreiro ידוע בכך שהוא נוהג לתקוף בנקים באמריקה הלטינית, ספרד ופורטוגל, אך IBM X-Force זיהו גל חדש של התקפות הכוללות אזורים במרכז ודרום אמריקה, אפריקה, אירופה והפסיפיק. בנוסף נראה כי התוכנה הזדונית, שתקפה 1500 בנקים ברחבי העולם, השתדרגה באופן משמעותי מבחינה טכנית.

על פי Cybernews, התוכנה הזדונית מופצת באמצעות דוא"ל עם קישור זדוני מישות המתחזה לגוף ממשלתי או ארגונים לגיטימיים אחרים (כמו בנקים או מוסדות פיננסיים), ומבקשת מהקורבן ללחוץ על קישור כדי להציג מסמך רשמי או לבצע תשלום. לאחר שלחץ על הקישור, הקורבן מנותב מחדש לתמונה של סמל PDF בזמן שקובץ ZIP יורד ברקע ומכיל קובץ הפעלה גדול המתחזה ל-PDF.

נוזקת Grandoreiro אז יכולה לקצור את הודעות הדואר האלקטרוני כדי להתפשט עוד יותר דרך תיבות אינבוקס הנגועות בנוזקה, מה שככל הנראה מוביל לנפח גדול של דואר זבל. כאשר הנוזקה מותקנת במערכת הקורבן, היא פועלת כמו סוס טרויאני בנקאי טיפוסי שמנסה לגנוב מידע פיננסי רגיש. כאשר התוכנה הזדונית מותקנת, היא עוקבת אחר פעולות מקלדת, מדמה פעילות עכבר, משתפת מסכים ומציגה חלונות מוקפצים מטעים. היא בנוסף אוספת נתונים פרטיים ורגישים כגון שמות משתמש, מידע על מערכת ההפעלה, זמן ריצה של המכשיר, והכי חשוב – מזהים בנקאיים.

מומחים ב-Cybernews טוענים כי הסוס הטרויאני ככל הנראה מופעל כקוד-זדוני-כשירות (MaaS) עבור ביצוע הונאות בנקאיות, כך שלמרות שהוא היה נתון לסנקציות גדולות על ידי רשויות אכיפת החוק בינואר 2024, נראה כי פושעי סייבר אחרים ממשיכים להשתמש בתוכנה הזדונית בהתקפות שלהם.

על פי דיווח של האינטרפול, נוזקת Grandoreiro נחשבת לאיום אבטחת סייבר משמעותי ברחבי מדינות דוברות ספרדית עוד מאז 2017. רק השנה, בסוף ינואר 2024, הרשויות בברזיל חיסלו נוזקה ששימשה כנופיה פלילית שהייתה אחראית לגניבה של 3.9 מיליון דולר ב-2019.