Kaspersky ontdekt nieuwe Grandoreiro light-variant 

Utrecht, 23 oktober 2024- Ondanks de arrestatie van belangrijke beheerders begin 2024, wordt Grandoreiro nog steeds door zijn partners ingezet in nieuwe campagnes. Het Kaspersky Global Research and Analysis team (GReAT) heeft een nieuwe light-versie ontdekt die gericht is op Mexico en ongeveer 30 banken als doelwit heeft. Deze bevindingen worden uitgelicht op de Security Analyst Summit (SAS) 2024. Grandoreiro-varianten blijven wereldwijd een van de meest actieve bedreigingen en richten zich op gebruikers van meer dan 1.700 banken. Ze zijn dit jaar verantwoordelijk voor ongeveer vijf procent van de aanvallen met banking trojans.  Mexico is een van de landen die het zwaarst getroffen is door Grandoreiro-varianten, inclusief de nieuwe light-versie, met dit jaar 51.000 geregistreerde incidenten. 

Nadat Kaspersky heeft geholpen bij een gecoördineerde actie van INTERPOL waarbij Braziliaanse autoriteiten beheerders achter een Grandoreiro banking trojan operatie arresteerden, ontdekte Kaspersky dat de groep hun codebase had opgesplitst in lichtere, gefragmenteerde versies van de trojan om hun aanvallen voort te zetten. Een recente analyse bracht een specifieke light-versie aan het licht die zich voornamelijk richt op Mexico en gebruikt werd om ongeveer 30 financiële instellingen aan te vallen. De aanvallers beschikken waarschijnlijk nog steeds over de broncode en zetten nieuwe campagnes op met deze vereenvoudigde malware.

“Alle recente ontwikkelingen onderstrepen de evoluerende aard van de dreiging. Gefragmenteerde en lichtere versies kunnen een trend zijn die zich buiten Mexico en in andere regio’s kan uitbreiden, ook buiten Latijns-Amerika. Wij geloven echter dat alleen enkele vertrouwde partners toegang hebben tot de broncode van de malware om dergelijke lichtere versies te ontwikkelen. Grandoreiro werkt anders dan het traditionele ‘Malware-as-a-Service’-model dat we gewend zijn. Je zult geen aankondigingen vinden op ondergrondse fora die het Grandoreiro-pakket verkopen; in plaats daarvan lijkt de toegang ertoe beperkt te zijn,” legt Fabio Assolini, hoofd van het Latijns-Amerikaanse (GReAT) bij Kaspersky, uit.

Meerdere varianten van Grandoreiro, waaronder de nieuwe light-versie en de primaire malware, waren goed voor ongeveer vijf procent van de wereldwijde banking trojan-aanvallen die Kaspersky in 2024 detecteerde, waarmee het een van de meest actieve bedreigingen wereldwijd is. Kaspersky heeft ook de nieuwere samples van de primaire Grandoreiro uit 2024 geanalyseerd en nieuwe tactieken waargenomen. Het neemt muisactiviteiten op om echte gebruikerspatronen na te bootsen, met als doel detectie te omzeilen door op machine learning gebaseerde securitysystemen die gedrag analyseren. Door natuurlijke muisbewegingen opnieuw af te spelen, probeert de malware antifraudeprogramma’s zo te misleiden dat ze de activiteit als legitiem beschouwen.

Daarnaast heeft Grandoreiro een cryptografische techniek gebruikt die bekend staat als Ciphertext Stealing (CTS), een techniek die Kaspersky nog niet eerder in malware heeft gezien. In dit geval is het doel om de schadelijke codestrings te versleutelen. “Grandoreiro heeft een grote en complexe structuur, waardoor het voor securitytools of analisten gemakkelijker zou zijn om te detecteren als de strings niet versleuteld waren. Dit is waarschijnlijk de reden waarom ze deze nieuwe techniek hebben geïntroduceerd – om de detectie en analyse van hun aanvallen te bemoeilijken,” aldus Fabio Assolini.

Gegevens van Kaspersky geven aan dat Grandoreiro al sinds 2016 actief is. In 2024 richt de dreiging zich op meer dan 1.700 financiële instellingen en 276 cryptocurrency wallets in 45 landen en gebieden. Als laatste worden Azië en Afrika toegevoegd aan de lijst van doelwitten, waardoor het een echt wereldwijde financiële dreiging wordt.

Lees meer op Securelist. De uitgebreide analyse en het overzicht van Grandoreiro presenteert GReAT tijdens de zestiende Security Analyst Summit (SAS) van Kaspersky, die plaatsvindt van 22-25 oktober 2024 in Bali.

###

Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Meer dan een miljard apparaten zijn beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen.  Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten, alsook Cyber Immune-oplossingen om geavanceerde digitale bedreigingen te bestrijden. Meer dan 200.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.