Банковский троян Grandoreiro вначале распространялся только на территории Латинской Америки, затем объявился также в некоторых европейских странах, например, Португалия и Испания. В IBM X-Force проанализировали обнаруженные образцы агрессивного банкера и заметили, что вредонос значительно усовершенствовали.
Загрузчик при запуске проверяет окружение на наличие песочниц, собирает информацию о зараженном хосте, отправляет ее на C2-сервер и ждет дальнейших инструкций. Если жертва находится в России, Чехии, Польше или использует Windows 7 на территории США, дальнейшее выполнение программы прекращается, в противном случае на машину загружается целевой банкер.
Вредонос умеет открывать удаленный доступ к системе, выполнять операции с файлами, включать особые режимы. В частности, ему придан новый модуль для сбора данных из Outlook и рассылки вредоносного спама с аккаунта жертвы.
Ксения Ахрамеева, к.т.н, ведущий инженер-аналитик компании «Газинформсервис»: «Вредоносные трояны поражают не только компьютеры физических лиц, но и часто нацелены на сотрудников крупных организаций. Цель понятна – использование их компьютеров в своих целях. Для противодействия таким атакам необходимо не пренебрегать настройкой и обеспечением информационной безопасности IT-инфраструктуры. В частности, существуют продукты, которые могут произвести безопасное разграничение прав доступа. Например, продукт Efros DefOps, на основе NAC легко справится с этой задачей. Также немаловажно ранее обнаружение аномалий в поведении устройств, для этих целей можно использовать продукты, подходящие для отражения подобных атак. Еще один продукт отечественной разработки – Ankey ASAP, за счёт поведенческой аналитики, построенной на основе машинного обучения позволяет обнаружить и своевременно принять меры по защите инфраструктуры от атак».