البنك الاحتياطي الفيدرالي البرازيلي يفكك طروادة المصرفية Grandoreiro ويعتقل كبار العملاء
قالت الشرطة الفيدرالية البرازيلية إنها أصدرت خمسة أوامر اعتقال مؤقتة و13 مذكرة تفتيش ومصادرة في ولايات ساو باولو وسانتا كاتارينا وبارا وغوياس وماتو غروسو.
أدت عملية إنفاذ القانون البرازيلية إلى اعتقال العديد من المشغلين البرازيليين المسؤولين عن البرمجيات الخبيثة Grandoreiro .
وقالت الشرطة الفيدرالية البرازيلية إنها أصدرت خمسة أوامر اعتقال مؤقتة و13 مذكرة تفتيش ومصادرة في ولايات ساو باولو وسانتا كاتارينا وبارا وغوياس وماتو غروسو.
وقالت شركة الأمن السيبراني السلوفاكية ESET، التي قدمت مساعدة إضافية في هذا الجهد، إنها كشفت عن خلل في التصميم في بروتوكول شبكة Grandoreiro مما ساعدها على تحديد أنماط الضحايا.
يعد Grandoreiro واحدًا من العديد من أحصنة طروادة المصرفية في أمريكا اللاتينية مثل Javali وMelcoz وCasabiniero وMekotio وVadokrist، ويستهدف في المقام الأول دولًا مثل إسبانيا والمكسيك والبرازيل والأرجنتين. ومن المعروف أنها نشطة منذ عام 2017.
وفي أواخر أكتوبر 2023، كشفت Proofpoint عن تفاصيل حملة تصيد وزعت نسخة محدثة من البرنامج الضار على أهداف في المكسيك وإسبانيا.
يتمتع حصان طروادة المصرفي بقدرات لسرقة البيانات من خلال برامج رصد لوحة المفاتيح ولقطات الشاشة بالإضافة إلى سحب معلومات تسجيل الدخول إلى البنك من التراكبات عندما يزور الضحية المصابة المواقع المصرفية المحددة مسبقًا والتي يستهدفها ممثلو التهديد. ويمكنه أيضًا عرض نوافذ منبثقة مزيفة وحجب شاشة الضحية.
تستفيد سلاسل الهجوم عادةً من إغراءات التصيد الاحتيالي التي تحمل مستندات وهمية أو عناوين URL ضارة تؤدي، عند فتحها أو النقر عليها، إلى نشر برامج ضارة، والتي تقوم بعد ذلك بإنشاء اتصال مع خادم الأوامر والتحكم (C&C) للتحكم عن بعد في الجهاز بطريقة يدوية .
وقالت ESET: "يقوم Grandoreiro بمراقبة النافذة الأمامية بشكل دوري للعثور على النافذة التي تنتمي إلى عملية متصفح الويب" .
"عندما يتم العثور على مثل هذه النافذة ويتطابق اسمها مع أي سلسلة من قائمة مشفرة من السلاسل المرتبطة بالبنك، عندها فقط تبدأ البرامج الضارة الاتصال بخادم القيادة والسيطرة الخاص بها، وإرسال الطلبات مرة واحدة على الأقل في الثانية حتى يتم إنهاؤها."
ومن المعروف أيضًا أن الجهات الفاعلة التي تقف وراء البرمجيات الخبيثة تستخدم خوارزمية إنشاء النطاق ( DGA ) منذ أكتوبر 2020 تقريبًا لتحديد نطاق الوجهة ديناميكيًا لحركة مرور القيادة والتحكم، مما يجعل من الصعب حظر البنية التحتية أو تتبعها أو الاستيلاء عليها.
يتم توفير غالبية عناوين IP التي تقررها هذه النطاقات بشكل أساسي بواسطة Amazon Web Services (AWS) وMicrosoft Azure، مع مدى عمر عناوين IP للقيادة والتحكم التي تتراوح بين يوم واحد إلى 425 يومًا. في المتوسط، يوجد 13 عنوان IP نشطًا وثلاثة عناوين IP جديدة للتحكم والسيطرة يوميًا، على التوالي.
قالت شركة ESET أيضًا أن التنفيذ المعيب لـ Grandoreiro لبروتوكول شبكة RealThinClient (RTC) الخاص بالقيادة والسيطرة، جعل من الممكن الحصول على معلومات حول عدد الضحايا المتصلين بخادم القيادة والسيطرة، مما أدى إلى تحديد 551 ضحية فريدة في اليوم في المتوسط والتي تنتشر بشكل أساسي عبر البرازيل والمكسيك وإسبانيا. البرازيل والمكسيك وإسبانيا.
وقد توصلت التحقيقات الإضافية إلى أن متوسط عدد الضحايا الفريدين الجدد الذين يتصلون بخوادم القيادة والتحكم كل يوم هو 114 ضحية فريدة.
وقالت شركة ESET: "عملية التعطيل التي قادتها الشرطة الفيدرالية البرازيلية استهدفت الأفراد الذين يُعتقد أنهم يشغلون مناصب عليا في التسلسل الهرمي لعملية Grandoreiro".
