14 oct 2024

Análisis técnico de #Grandoreiro (sus 3 etapas de ataque)

Artículo gentiliza de Any.Run para Segu-Info

Grandoreiro es un troyano bancario que ha estado apuntando activamente a usuarios, particularmente en América Latina. Este malware, que a menudo forma parte de campañas de phishing más amplias, está diseñado para robar credenciales bancarias y datos financieros engañando a los usuarios para que descarguen software malicioso.

Analicemos las tres etapas de un ataque típico de Grandoreiro.

Etapa 1: propagación, envío e infección

El principal método de distribución de Grandoreiro es mediante campañas de phishing. Los ciberatacantes suelen enviar correos electrónicos que se hacen pasar por entidades gubernamentales e instituciones financieras legítimas, animando a las víctimas potenciales a hacer clic en enlaces maliciosos y descargar archivos adjuntos infectados.

Los correos electrónicos son engañosos porque afirman contener documentos importantes, como extractos de cuentas bancarias, impuestos o avisos de impuestos. Después de hacer clic en el enlace o abrir el documento, la potencial víctima descarga un archivo ZIP malicioso que contiene el payload de Grandoreiro, disfrazado de PDF u otro archivo benigno.

Para ver cómo comienza la cadena de infección, ejecutamos una muestra de Grandoreiro dentro del entorno limitado interactivo de ANY.RUN. Vemos en el análisis del sandbox que el malware se envía a través de un correo electrónico disfrazado de documento importante. El correo electrónico incluye un enlace que dirige al usuario a una página web.

En nuestro caso, el usuario es redirigido a una página web donde se muestra una imagen con un logo de PDF junto con el texto "Documento PDF". A continuación, un archivo llamado "Fact1575612671912320.zip" comienza a descargarse en la computadora.

Dentro del archivo, encontramos un archivo llamado "HUV_Fac_tura_JLDNUZEITXIY.exe" que usa un ícono de PDF para parecer confiable, pero la extensión de archivo real sigue siendo .EXE, una clara señal de que es un archivo ejecutable, no un documento. Este es un método clásico utilizado para engañar a los usuarios para que ejecuten Grandoreiro.

Después de abrir el archivo dentro de la sandbox, podemos ver que este es el .EXE malicioso real utilizado para infectar la máquina con Grandoreiro.

Etapa 2: Persistencia y Comunicación C2

Después de que se ejecuta el cargador, la siguiente etapa implica la persistencia y la comunicación con el servidor de comando y control (C2).

Una vez que se ejecuta Grandoreiro, establece persistencia modificando el registro de Windows, asegurando que se inicie automáticamente cada vez que el usuario inicia sesión. Esto le ayuda a mantener un punto de apoyo en el sistema, incluso después de reiniciar.

Dentro del sandbox, en el árbol de procesos para el ejecutable HUV_Fac_tura_JLDNUZEITXIY.exe, se pueden observar todos los cambios de registro realizados por Grandoreiro.

Algunos cambios clave en el registro realizados por Grandoreiro incluyen:

  • ProxyBypass: esta clave de registro se utiliza para almacenar configuraciones que permiten que el malware omita cualquier configuración del servidor proxy configurada por el usuario o la red. Al establecer el valor en "1", Grandoreiro garantiza que puede comunicarse libremente con sus servidores de comando y control (C2) o descargar cargas útiles maliciosas adicionales sin interferencias. Esta táctica ayuda al malware a evadir la detección y mantener la persistencia, evitando las medidas de seguridad de la red.
  • IntranetName: esta clave modifica el nombre de la zona de intranet en la Configuración de Internet del registro de Windows. El malware como Grandoreiro a menudo aprovecha esta clave para comunicarse con recursos internos o filtrar información confidencial, lo que facilita que el cumplimiento de sus objetivos pase desapercibidos.

En esta etapa, Grandoreiro permanece oculto dentro del sistema, ejecutándose en segundo plano. Se conecta a sus servidores C2 para enviar información robada, incluidas credenciales y datos potencialmente confidenciales, a los atacantes. Con el marco MITRE ATT&CK Matrix integrado en el sandbox ANY.RUN, podemos ver claramente las diversas técnicas utilizadas en el ataque Grandoreiro.

A continuación se muestra un desglose de algunas de las tácticas y técnicas identificadas:

  • Robo de datos: Grandoreiro se centra en robar información sensible, especialmente datos personales y financieros. Este es uno de los objetivos principales del malware, con énfasis en capturar credenciales bancarias.
  • Descubrimiento de software: el malware realiza un reconocimiento del sistema para recopilar información detallada sobre el sistema operativo, incluida su versión, los parches instalados y la arquitectura. Esto ayuda al atacante a adaptar sus próximos pasos para la explotación.
  • Descubrimiento de la configuración de la red: Grandoreiro examina la configuración de la red del sistema, las direcciones IP y los detalles de configuración, ayudándolo a mapear la red para una mayor explotación y garantizar su persistencia.
  • Uso de puertos no estándar: para evadir la detección, el atacante suele comunicarse a través de puertos no estándar, lo que dificulta que las herramientas de seguridad detecten y bloqueen el tráfico del malware.

Etapa 3: Robo

Grandoreiro suele utilizar técnicas de ingeniería social para robar credenciales y eludir medidas de seguridad como la autenticación de dos factores (2FA).

Una vez que los operadores de malware tienen acceso al sistema de la víctima, utilizan superposiciones (overlays) bancarias falsas. Estas superposiciones imitan pantallas de inicio de sesión bancarias legítimas o formularios de aprobación de transacciones. Cuando los usuarios inician sesión en su cuenta bancaria o inician una transacción, sin saberlo, interactúan con estas superposiciones fraudulentas. Esto permite a los atacantes robar credenciales de inicio de sesión en tiempo real.

Además, los operadores de Grandoreiro engañan a los usuarios para que proporcionen códigos 2FA simulando errores o solicitando al usuario que vuelva a ingresar el código bajo la apariencia de un problema del sistema. Dado que la 2FA suele entregarse a través de SMS, los atacantes pueden interceptar los mensajes o convencer a los usuarios para que los introduzcan en la superposición falsa. Esto permite a los atacantes completar transacciones fraudulentas sin que el usuario se dé cuenta hasta que sea demasiado tarde.

Los operadores de Grandoreiro también utilizan bloqueadores de pantalla para evitar que los usuarios interfieran mientras se produce el ataque, de modo que puedan robar fondos o realizar otras actividades maliciosas sin ser molestados.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!