One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8504898 |
| Date de publication | 2024-05-22 16:31:26 (vue: 2024-05-22 17:08:20) |
| Titre | Grandoreiro Banking Trojan Resurfaces dans Global Campaign Grandoreiro Banking Trojan Resurfaces in Global Campaign |
| Texte | ## Instantané Depuis mars 2024, IBM X-Force a suivi des campagnes de phishing à grande échelle distribuant le cheval de Troie bancaire Grandoreiro, considéré comme un logiciel malveillant en tant que service (MAAS). Lisez la rédaction de Microsoft \\ sur Grandoreiro [ici] (https://security.microsoft.com/intel-explorer/articles/f07d1d16). ## Description Grandoreiro a connu des mises à jour importantes, notamment le décryptage amélioré des chaînes et un nouvel algorithme générateur de domaine (DGA).Le malware exploite également les clients Microsoft Outlook sur les hôtes infectés pour diffuser des e-mails de phishing. Historiquement, les campagnes ont été principalement limitées à l'Amérique latine, à l'Espagne et au Portugal.Mais la dernière variante est conçue pour cibler spécifiquement plus de 1500 banques mondiales, permettant aux attaquants de commettre une fraude bancaire dans plus de 60 pays, élargissant la portée du malware à des régions comme l'Amérique centrale et du Sud, l'Afrique, l'Europe et l'Indo-Pacifique.Selon IBM, les logiciels malveillants évolués et le ciblage élargi peuvent être en réponse à des mesures d'application de la loi contre Grandoreiro. La chaîne d'infection de Grandoreiro \\ commence par un chargeur personnalisé, qui vérifie si la victime est une cible légitime et non un chercheur ou dans un bac à sable.Il rassemble des données de base de la victime, l'envoie au serveur de commandement et de contrôle (C2) et télécharge le Trojan.La variante récente du Malware \\ comprend un mécanisme de décryptage de chaîne retravaillé, en utilisant un processus complexe et en plusieurs étapes impliquant le cryptage Base64 et AES. Le Troie profil les victimes pour adapter les attaques, ciblant des applications bancaires spécifiques et des portefeuilles de crypto-monnaie.Son algorithme DGA avancé génère plusieurs domaines C2 quotidiennement, améliorant sa résilience.Grandoreiro peut exécuter un large éventail de commandes, de la télécommande et de la gestion des fichiers aux campagnes de spam de keylogging et d'Outlook.Cette capacité à envoyer des e-mails de phishing des clients Infected Outlook contribue à sa propagation. ## Microsoft Intelligence En plus de suivre l'activité de Grandoreiro en Europe, en Afrique et en Amérique latine, Microsoft Threat Intelligence a observé un ciblage de Grandoreiro aux États-Unis. ## Détections ** Microsoft Defender Antivirus ** Microsoft Defender Antivirus détecte les composants de menace comme le FOLlowing malware: - * [Trojanspy: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojanspy:win32/grandoreiro& ;TheRatid=-2147235291) * - * [Trojan: Win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/Grandoreiro.MBJr!Mtb& ;heterid=-2147060695) * - * [Trojandownloader: VBS / Grandoreiro] (https://www.microsoft.com/en-us/wdssi/Therets/Malware-encyClopedia-Description?name=trojandownOader:win32/grandoreiro.zy!SMS& ;Thereatid=-2147059024) * - * [Trojan: Win64 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Therets/Malware-encyClopedia-dercription?name=trojan:win64/grandoreiro.psye!mtb& ;theatid=-2147128454)* - * [Comportement: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=behavior:win32/grandoreiro.f & menaceId = -2147139055) * - * [Spyware: win32 / Grandoreiro] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-dercription?naME = Spyware: Win32 / Grandoreiro! Mclg & menaceID = 325649) * ** Microsoft Defender pour le point de terminaison ** Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau: - * Activité possible de Grandoreiro * ## Recommandations Microsoft recommande les atténuations sui |
| Envoyé | Oui |
| Condensat | **microsoft *possible 1500 2024 2147059024 2147060695 2147128454 2147139055 2147235291 365 365/anti 365/safe about accessed accessing according action activity activity* addition advanced aes africa against age alert alerts algorithm allow allowing also america anti antivirus antivirus** applications apps are artifacts attack attackers attacks authentication automated banking banks base64 based basic been behavior:win32/grandoreiro behind believed block blocks breach breaches browsers but campaign campaigns can capability card center central chain check checks click clients cloud com/en com/intel com/x command commands commit common complex components configure content contributes control countries cover criterion cryptocurrency custom customers daily data decryption defender delivered deploy deployment description designed detect detected detection detections detects dga distributing does domain domains downloads edge edr email emails emerging enable encourage encryption encyclopedia endpoint endpoint** endpoint/attack endpoint/automated endpoint/cloud endpoint/detect endpoint/edr endpoint/enable enforcement enhancing eop equivalent europe even evolved evolving exchange executable execute execution expanded expanding expands exploits explorer/articles/f07d1d16 f&threatid= file files flow following force force/grandoreiro fraud from full gathers generates generating global grandoreiro has have help here historically host hosts https://learn https://security https://securityintelligence https://www ibm identifies immediate impact improved inbound includes including indicate indo infected infection intelligence internet investigation investigations involving its keylogging large latest latin law learndoc learndoc#block learning legitimate like limited links list loader locations maas machine mail majority malicious malware malware: management march may mbjr mclg&threatid=325649 mechanism meet messages methods microsoft mitigations mode monitored more mostly mtb&threatid= multi multiple name=behavior:win32/grandoreiro name=spyware:win32/grandoreiro name=trojan:win32/grandoreiro name=trojan:win64/grandoreiro name=trojandownloader:win32/grandoreiro name=trojanspy:win32/grandoreiro&threatid= network network: new non not now obfuscated observed observing occurs ocid=magicti office online operated organization other outlook over pacific passive phishing pilot portugal post potentially prevalence prevent process product profiles protect protection protections provides psye pua range rapidly reach read recent recheck recommendations recommends reduce reducing reduction reference references regions regular remediate remediation remote researcher resilience resistant resolve response resurfaces reworked rewriting rules run running safe sandbox scale scam scanning scenes scripts security seen send sends server service sharepoint significant significantly since sites smartscreen sms&threatid= snapshot south spain spam specific specifically spread spyware:win32/grandoreiro starts states status step string such support surface tab tailor take target targeting teams techniques techniques: than threat time titles tools tracked tracking trojan trojan:win32/grandoreiro trojan:win64/grandoreiro trojandownloader:vbs/grandoreiro trojanspy:win32/grandoreiro trusted turn united unknown unleased: unleashed/#new unless unwanted updates url urls us/defender us/deployedge/microsoft us/entra/identity/authentication/concept us/wdsi/threats/malware use used users using variant variants verification victim victims volume wallets web websites when which wide works write xdr your |
| Tags | Spam Malware Tool Threat Legislation |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.