Overslaan naar hoofdinhoud

Kaspersky ontdekt nieuwe Grandoreiro light-variant

23 oktober 2024

Ondanks de arrestatie van belangrijke beheerders begin 2024, wordt Grandoreiro nog steeds door zijn partners ingezet in nieuwe campagnes. Het Kaspersky Global Research and Analysis team (GReAT) heeft een nieuwe light-versie ontdekt die gericht is op Mexico en ongeveer 30 banken als doelwit heeft. Deze bevindingen worden uitgelicht op de Security Analyst Summit (SAS) 2024. Grandoreiro-varianten blijven wereldwijd een van de meest actieve bedreigingen en richten zich op gebruikers van meer dan 1.700 banken. Ze zijn dit jaar verantwoordelijk voor ongeveer vijf procent van de aanvallen met banking trojans. Mexico is een van de landen die het zwaarst getroffen is door Grandoreiro-varianten, inclusief de nieuwe light-versie, met dit jaar 51.000 geregistreerde incidenten.

Nadat Kaspersky heeft geholpen bij een gecoördineerde actie van INTERPOL waarbij Braziliaanse autoriteiten beheerders achter een Grandoreiro banking trojan operatie arresteerden, ontdekte Kaspersky dat de groep hun codebase had opgesplitst in lichtere, gefragmenteerde versies van de trojan om hun aanvallen voort te zetten. Een recente analyse bracht een specifieke light-versie aan het licht die zich voornamelijk richt op Mexico en gebruikt werd om ongeveer 30 financiële instellingen aan te vallen. De aanvallers beschikken waarschijnlijk nog steeds over de broncode en zetten nieuwe campagnes op met deze vereenvoudigde malware. 

“Alle recente ontwikkelingen onderstrepen de evoluerende aard van de dreiging. Gefragmenteerde en lichtere versies kunnen een trend zijn die zich buiten Mexico en in andere regio's kan uitbreiden, ook buiten Latijns-Amerika. Wij geloven echter dat alleen enkele vertrouwde partners toegang hebben tot de broncode van de malware om dergelijke lichtere versies te ontwikkelen. Grandoreiro werkt anders dan het traditionele 'Malware-as-a-Service'-model dat we gewend zijn. Je zult geen aankondigingen vinden op ondergrondse fora die het Grandoreiro-pakket verkopen; in plaats daarvan lijkt de toegang ertoe beperkt te zijn,” legt Fabio Assolini, hoofd van het Latijns-Amerikaanse (GReAT) bij Kaspersky, uit. 

Meerdere varianten van Grandoreiro, waaronder de nieuwe light-versie en de primaire malware, waren goed voor ongeveer vijf procent van de wereldwijde banking trojan-aanvallen die Kaspersky in 2024 detecteerde, waarmee het een van de meest actieve bedreigingen wereldwijd is. Kaspersky heeft ook de nieuwere samples van de primaire Grandoreiro uit 2024 geanalyseerd en nieuwe tactieken waargenomen. Het neemt muisactiviteiten op om echte gebruikerspatronen na te bootsen, met als doel detectie te omzeilen door op machine learning gebaseerde securitysystemen die gedrag analyseren. Door natuurlijke muisbewegingen opnieuw af te spelen, probeert de malware antifraudeprogramma's zo te misleiden dat ze de activiteit als legitiem beschouwen.

Daarnaast heeft Grandoreiro een cryptografische techniek gebruikt die bekend staat als Ciphertext Stealing (CTS), een techniek die Kaspersky nog niet eerder in malware heeft gezien. In dit geval is het doel om de schadelijke codestrings te versleutelen. “Grandoreiro heeft een grote en complexe structuur, waardoor het voor securitytools of analisten gemakkelijker zou zijn om te detecteren als de strings niet versleuteld waren. Dit is waarschijnlijk de reden waarom ze deze nieuwe techniek hebben geïntroduceerd - om de detectie en analyse van hun aanvallen te bemoeilijken,” aldus Fabio Assolini. 

Gegevens van Kaspersky geven aan dat Grandoreiro al sinds 2016 actief is. In 2024 richt de dreiging zich op meer dan 1.700 financiële instellingen en 276 cryptocurrency wallets in 45 landen en gebieden. Als laatste worden Azië en Afrika toegevoegd aan de lijst van doelwitten, waardoor het een echt wereldwijde financiële dreiging wordt. 

Lees meer op Securelist. De uitgebreide analyse en het overzicht van Grandoreiro presenteert GReAT tijdens de zestiende Security Analyst Summit (SAS) van Kaspersky, die plaatsvindt van 22-25 oktober 2024 in Bali.

Kaspersky ontdekt nieuwe Grandoreiro light-variant

Ondanks de arrestatie van belangrijke beheerders begin 2024, wordt Grandoreiro nog steeds door zijn partners ingezet in nieuwe campagnes. Het Kaspersky Global Research and Analysis team (GReAT) heeft een nieuwe light-versie ontdekt die gericht is op Mexico en ongeveer 30 banken als doelwit heeft. Deze bevindingen worden uitgelicht op de Security Analyst Summit (SAS) 2024. Grandoreiro-varianten blijven wereldwijd een van de meest actieve bedreigingen en richten zich op gebruikers van meer dan 1.700 banken. Ze zijn dit jaar verantwoordelijk voor ongeveer vijf procent van de aanvallen met banking trojans. Mexico is een van de landen die het zwaarst getroffen is door Grandoreiro-varianten, inclusief de nieuwe light-versie, met dit jaar 51.000 geregistreerde incidenten.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information