Cyberthreat.id – Peneliti keamanan dari Zscaler mengungkapkan bahwa trojan perbankan Grandoreiro baru-baru ini terlihat menargetkan karyawan pabrik bahan kimia di Spanyol dan pekerja pabrik otomotif di Meksiko.

Malware Grandoreiro diketahui telah aktif di alam liar setidaknya sejak 2017 dan tetap menjadi salah satu ancaman paling signifikan dari jenisnya bagi pengguna berbahasa Spanyol.

Dikutip dari Bleeping Computer, kampanye baru-baru ini, dimulai pada Juni 2022 dan masih berlangsung. Ini melibatkan penyebaran varian malware Grandoreiro yang menampilkan beberapa fitur baru untuk menghindari deteksi dan anti-analisis, serta sistem C2 yang dirubah.

Para peneliti mengatakan, rantai infeksi dimulai dengan email yang berpura-pura berasal dari Kantor Kejaksaan Agung Mexico City atau Kementerian Publik Spanyol, tergantung pada targetnya. Topik yang digunakan berkisar pada pengembalian uang negara, pemberitahuan perubahan litigasi, pembatalan pinjaman hipotek, dan banyak lagi.

“Email tersebut berisi tautan yang mengarahkan korban ke situs web yang menjatuhkan arsip ZIP. File itu menyertakan modul pemuat Grandoreiro yang menyamar sebagai file PDF untuk mengelabui korban,” kata peneliti.

Setelah pengguna mengklik tautan tersebut, muatan Delphi diambil dari server file HTTP jarak jauh ("http://15[.]188[.]63[.]127:36992/zxeTYhO.xml") dalam bentuk kompresi 9.2MB ZIP dan diekstraksi dan dieksekusi oleh loader.

Selama tahap itu, loader mengumpulkan informasi sistem, mengambil daftar program AV yang diinstal, dompet cryptocurrency, dan aplikasi e-banking, dan mengirimkannya ke C2. Muatan terakhir, ditandatangani dengan sertifikat yang dicuri dari ASUSTEK, mengasumsikan ukuran yang meningkat sebesar 400MB melalui metode "biner padding" untuk menghindari analisis sandbox.

Dalam satu kasus yang disorot oleh analis keamanan Ankit Anubhav di Twitter, Grandoreiro bahkan meminta korban untuk memecahkan CAPTCHA untuk dijalankan di sistem, yang merupakan upaya lain untuk menghindari analisis. Terakhir, kegigihan antara reboot dipertahankan dengan menambahkan dua kunci Registry baru, mengatur Grandoreiro untuk diluncurkan saat startup sistem.

Peneliti menyebutkan, salah satu tambahan baru dalam varian Grandoreiro terbaru yang dijadikan sampel oleh Zscaler adalah penggunaan DGA (algoritma pembuatan domain) untuk komunikasi C2, yang membuat pemetaan infrastruktur malware dan penghapusannya menjadi sulit. Pola komunikasi C2 saat ini identik dengan LatentBot, menggunakan suar "ACTION+HELLO" dan respons nilai cookie berbasis ID.

Penulis keamanan siber Portugis Pedro Taveres, pertama kali melihat kesamaan antara dua jenis malware pada tahun 2020, tetapi asimilasi teknik komunikasi C2 ke dalam kode Grandoreiro baru diselesaikan baru-baru ini. Kampanye baru-baru ini menunjukkan bahwa operator Grandoreiro tertarik untuk melakukan serangan yang sangat bertarget daripada mengirim email spam dalam jumlah besar ke penerima acak.

Selain itu, evolusi terus-menerus dari malware yang memberinya fitur anti-analisis dan penghindaran deteksi yang lebih kuat, meletakkan dasar untuk operasi yang lebih tersembunyi.

Sementara itu, laporan Zscaler tidak menyelam jauh ke dalam tujuan spesifik dari kampanye saat ini, operator Grandoreiro secara historis menunjukkan motif keuangan, sehingga diasumsikan kasusnya tetap sama.