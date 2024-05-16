Seit März 2024 verfolgt IBM X-Force mehrere groß angelegte Phishing-Kampagnen, die den Grandoreiro-Banking-Trojaner verteilen, der wahrscheinlich als Malware-as-a-Service (MaaS) betrieben wird. Die Analyse der Malware ergab wichtige Aktualisierungen im String-Entschlüsselungs- und Domain-Generierungsalgorithmus (DGA) sowie die Möglichkeit, Microsoft Outlook-Clients auf infizierten Rechnern zu nutzen, um weitere Phishing-E-Mails zu verbreiten. Die neueste Malware-Variante zielt außerdem auf über 1500 Banken weltweit ab und ermöglicht es Angreifern, Bankbetrug in über 60 Ländern zu begehen, darunter Regionen in Mittel- und Südamerika, Afrika, Europa und dem Indopazifik. Obwohl Kampagnen traditionell auf Lateinamerika, Spanien und Portugal beschränkt waren, beobachtete X-Force jüngere Kampagnen, die sich als mexikanischer Steuerverwaltungsdienst (SAT), Mexikos Federal Electricity Commission (CFE), Mexikos Sekretär für Verwaltung und Finanzen, den argentinischen Finanzamt und insbesondere den South African Revenue Service (SARS) ausgaben. Die überarbeitete Malware und die neuen Ziele könnten auf eine Änderung der Strategie seit der jüngsten Strafverfolgungsmaßnahme gegen Grandoreiro hindeuten, was die Betreiber wahrscheinlich dazu veranlasst hat, die Malware in globalen Phishing-Kampagnen auszuweiten, beginnend mit Südafrika.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Seit März 2024 beobachtet X-Force Phishing-Kampagnen, die sich als Mexikos Steuerbehörde (SAT), Mexikos Federal Electricity Commission (CFE), der Minister für Verwaltung und Finanzen der Stadt Mexiko und der Finanzbehörde von Argentinien ausgeben. Die E-Mails zielen auf Nutzer in Lateinamerika ab, einschließlich Top-Level-Domains (TLDs) aus Mexiko, Kolumbien und Chile „.mx“, „.co“ und „.cl“. Aus Gründen des Datenschutzes wurden alle realen Identitäten aus den Bildern entfernt.
Die erste Kampagne scheint ein Versuch zu sein, als offiziell und dringend wahrgenommen zu werden und informiert die Zielperson darüber, dass sie eine letzte Mitteilung bezüglich einer Belastung der Federal Taxpayer Registration Fee (RFC) erhält, die noch nicht bezahlt wurde. Bei Nichtzahlung können Strafen, Bußgelder und eine Sperrung der Steueridentifikationsnummer des Nutzers zu Strafen, Geldstrafen und einer Sperrung der Steueridentifikationsnummer des Nutzers führen, was sich darauf auswirkt, dass die Zielperson Geschäfte tätigen und legal Zugang zu staatlichen Diensten erhalten kann. Eine weitere Kampagne gibt sich als die mexikanische Federal Electricity Commission (CFE) aus und erinnert den Empfänger daran, dass er CFEMail abonniert hat und daher auf seinen Kontoauszug im PDF- und XML-Format aufrufen kann, indem man auf einen der eingebetteten Links klickt. Eine dritte Kampagne, die das Ministerium für Verwaltung und Finanzen imitiert, fordert den Empfänger auf, auf eine PDF-Datei zu klicken, um die Details zu einer Compliance-Mitteilung zu lesen. Eine Kampagne, die den argentinischen Steuerdienst imitiert, fordert den Nutzer auf, ein neues Steuerdokument herunterzuladen und entsprechende Maßnahmen zu ergreifen.
In jeder Kampagne werden die Empfänger aufgefordert, auf einen Link zu klicken, um eine Rechnung oder Gebühr, einen Kontoauszug einzusehen, eine Zahlung zu tätigen usw., je nach der nachgeahmten Entität. Wenn sich der Nutzer, der auf die Links klickt, in einem bestimmten Land befindet (je nach Kampagne Mexiko, Chile, Spanien, Costa Rica, Peru oder Argentinien), wird er zu einem Bild eines PDF-Symbols weitergeleitet, und im Hintergrund wird eine ZIP-Datei heruntergeladen. Die ZIP-Dateien enthalten eine große ausführbare Datei, die mit einem PDF-Symbol getarnt ist und die nachweislich am Tag vor oder am Tag des E-Mail-Versands erstellt wurde.
Abb. 1, 2: Beispiel-E-Mails, die SAT und CFE imitieren
Abb. 3, 4: Sekretär für Verwaltung und Finanzen und AFIP
Typischerweise ist Grandoreiro-Malware in Kampagnen zu sehen, die Nutzer in Lateinamerika ansprechen; nach jüngsten Festnahmen mit Grandoreiro-Betreibern hat X-Force jedoch einen Anstieg von Kampagnen erlebt, die Gebiete außerhalb von LATAM erreichen, darunter TLDs aus Spanien, Japan, den Niederlanden und Italien. X-Force beobachtete eine Phishing-Kampagne, die sich als der South African Revenue Service (SARS) ausgab und vorgab, von der Taxpayer Assistance Services Division zu stammen. X-Force beobachtete außerdem zwei Kampagnen, die vermutlich vom selben Akteur durchgeführt wurden und sich als mexikanische Steuerbehörde ausgaben. E-Mails werden entweder auf Englisch oder Spanisch verfasst und haben das gleiche Format. Die E-Mails verweisen auf eine Steuernummer und informieren den Empfänger darüber, dass er eine elektronische Steuerrechnung erhält, die den Vorschriften des South African Revenue Service oder den Vorschriften des Tax Administration Service entspricht. Dem Benutzer wird sowohl ein PDF- als auch ein XML-Link zur Ansicht der Rechnung bereitgestellt, der einen ZIP-Archivdownload mit der ausführbaren Grandoreiro-Loader-Datei "SARS 35183372 eFiling 32900947.exe" initiiert. (Ziffern variieren zwischen den Proben).
Abb. 5, 6, 7: Beispiel-E-Mails, die SAT und SARS imitieren.
Wie bei früheren Kampagnen beginnt auch bei Grandoreiro die Infektionskette mit einem maßgeschneiderten Lader. Oft ist die ausführbare Datei auf eine Größe von mehr als 100 MB aufgebläht, um eine automatische Virenprüfung zu verhindern. Um eine automatische Ausführung zu verhindern, wird ein kleines CAPTCHA-Popup angezeigt, das den Adobe PDF Reader imitiert und einen Klick erfordert, um mit der Ausführung fortzufahren.
Abbildung 8: Grandoreiro gefälschte Adobe PDF-Reader CAPTCHA
Der Loader hat drei Hauptaufgaben:
All diese Aufgaben erfordern mehr als 120 wichtige Zeichenketten, die mit einem verbesserten Algorithmus verschlüsselt werden.
Zunächst generiert Grandoreiro einen großen Schlüsselstring, der hart kodiert und dreifach mit Base64 verschlüsselt ist. Der in diesen Proben beobachtete Schlüssel beginnt mit „D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO! E…”. Anschließend wird die verschlüsselte Zeichenfolge mithilfe einer benutzerdefinierten Dekodierung in eine Reihe von hexadezimalen Zeichen umgewandelt, die als Bytes interpretiert werden.
Abbildung 9: Grandoreiro benutzerdefinierte Hex-Codierung (Hinweis: Nicht-Hex-Zeichencodierung wie „”“ wird niemals verwendet)
Grandoreiro entschlüsselt das Ergebnis mittels des alten Grandoreiro-Algorithmus mit der Schlüsselfolge. Nachfolgend finden Sie eine Python-Implementierung der Entschlüsselungsroutine:
Zum Schluss wird eine letzte Runde der 256-Bit-AES-CBC-Entschlüsselung und des Unpaddings durchgeführt, um die Klartextzeichenkette wiederherzustellen. Sowohl der AES-Schlüssel als auch der Initiationsvektor (IV) werden ebenfalls als verschlüsselte Strings gespeichert und müssen mit demselben Algorithmus wie oben entschlüsselt werden, wobei jedoch die AES-Entschlüsselung übersprungen wird. Die folgende Grafik gibt einen Überblick über den gesamten Entschlüsselungsprozess:
Abbildung 10: Grandoreiro-Loader-Zeichenfolgenentschlüsselung
Um festzustellen, dass ein Opfer nicht Teil einer Sandbox-Umgebung ist, sammelt der Grandoreiro-Loader die folgenden Informationen und vergleicht sie mit einer Liste fest codierter Werte (siehe Anhang):
Dieser Überprüfungsschritt wird auch verwendet, um Opfer aus bestimmten Ländern auszuschließen. Bei einem Beispiel wurde die Ausführung von Infektionen mit öffentlichen IP-Adressen nicht fortgesetzt:
Die Probe verhinderte außerdem Infektionen von Windows-7-Rechnern in den USA ohne Antiviren.
Im nächsten Ausführungsschritt wird versucht, ein Basisprofil des Opfers zu erstellen, das auf dem C2-Panel angezeigt werden soll. Die Malware zählt die folgenden Informationen auf dem Computer des Opfers auf:
Grandoreiro verkettet die Ergebnisse mit der Zeichenfolge „*~+“ und sendet sie als Teil der verschlüsselten Payload-Anfrage an den C2-Server.
Der C2-Server des Grandoreiro-Loaders kann mit demselben oben beschriebenen Algorithmus entschlüsselt werden. Der resultierende Domainname wird über DNS über HTTPS über die URL https://dns.google/resolve?name=<C2 server> aufgelöst, um DNS-basierte Blockierungen zu umgehen. Nachdem die Malware die C2-IP-Adresse erhalten hat, nimmt sie die ersten 4 Ziffern der IP-Adresse und führt 4 verschiedene Ziffer-zu-Ziffern-Zuordnungen darauf durch, woraus die 4-stellige Portnummer resultiert.
Dann verkettet es die Zeichenfolge zur Profilerstellung des Opfers von oben zusammen mit einer großgeschriebenen portugiesischen Nachricht „CLIENT_SOLICITA_DDS_MDL“ (wahrscheinlich übersetzt mit „Kunde fragt nach Moduldaten“). Eine Beispielzeichenfolge wäre:
Die Zeichenkette wird verschlüsselt und als URL-Pfad über eine HTTP-GET-Anfrage an den C2-Server gesendet, die die letzte Grandoreiro-Nutzlast anfordert.
Bei Erfolg antwortet der C2-Server mit einem HTTP-200-Statuscode, der eine weitere verschlüsselte Nachricht enthält. Es enthält folgende Informationen:
Beispiel:
Zum Herunterladen sendet Grandoreiro eine weitere HTTP-GET-Anfrage an die Payload-URL. Die heruntergeladene Datei wird im angegebenen Verzeichnisnamen unter „C:\ProgramData\“ speichert. Anschließend wird die Datei über einen RC4-basierten Algorithmus mit dem Schlüssel „7684223510“ entschlüsselt. Schließlich wird die Datei mithilfe der Delphi-Bibliothek „ZipForge“ dekomprimiert und die ursprünglich heruntergeladene Datei gelöscht.
Das Archiv kann zwei Dateien enthalten, eine .EXE-Datei (Grandoreiro-Banking-Trojaner) und eine .CFG-Datei (Konfigurationsdatei).
Bevor die Ausführung erfolgt, führt der Loader eine Aufzählung der Gruppenmitgliedschaft des aktuellen Tokens durch und prüft dabei speziell das Vorhandensein des SECURITY_NT_AUTHORITY SID. Wenn der Prozess über die erforderlichen Berechtigungen verfügt, verwendet der Loader die Funktion ShellExecuteW() mit dem Verb „runas“, um die Grandoreiro-Nutzlast mit erhöhten Berechtigungen auszuführen. Umgekehrt, wenn die notwendigen Privilegien nicht verfügbar sind, führt der Loader sich selbst über ShellExecuteW() ohne Elevation aus.
Während aller Infektionsphasen – dem Herunterladen der schädlichen Nutzlast, der Entschlüsselung und der Ausführung – sendet der Grandoreiro-Loader Statusmeldungen an seinen C2-Server zurück. Einige Beispiele sind:
Die letzte schädliche Nutzlast ist der Grandoreiro-Banking-Trojaner. In der neuesten Version wurden vor allem die Algorithmen zur String-Entschlüsselung und zur DGA-Berechnung aktualisiert. Es umfasste auch eine große Anzahl von globalen Bankanwendungen, mit denen Angreifer in Dutzenden von Ländern gezielt Bankbetrug durchführen und deren Ausführung unterstützen können. Zusammen mit einem speziellen Outlook-Spreader-Modul und einer Vielzahl von Funktionen ist es einer der größten bekannten Banking-Trojaner. Die Analyse ist noch nicht abgeschlossen. Die folgenden Abschnitte bieten einen detaillierten Überblick über die wichtigsten Eigenschaften von Grandoreiro und heben seine wesentlichen Merkmale und Funktionen hervor.
Grandoreiro beginnt mit der Einrichtung der Persistenz über die Windows-Registrierung. Es führt folgenden Befehl aus, um einen neuen Registry-Run-Schlüssel zu erstellen und die Malware beim Benutzer-Login zu starten:
Beachten Sie, dass der Name des Schlüssels je nach Samples unterschiedlich sein kann, aber oft mit dem ursprünglichen Dateinamen der heruntergeladenen Payload zusammenhängt. Wenn Grandoreiro nicht in einem erhöhten Prozess ausgeführt wird, wird das Verb „/runas“ weggelassen.
Zusätzlich zur CFG-Datei erstellt Grandoreiro auch eine XML-Datei im Verzeichnis C:\Public\. Es wird über die Verschlüsselungsroutine des Loaders verschlüsselt und speichert den Dateinamen der ausführbaren Datei Grandoreiro, den Pfad und das Datum der Infektion.
Falls Grandoreiro seine .CFG-Datei nicht finden kann, wird eine neue .CFG-Datei mit Standardwerten erstellt, die angeben, welche Grandoreiro-Funktionen aktiviert sind, das Land des Opfers und das Datum der Infektion. Die .CFG-Datei wird mittels des Grandoreiro-Stringverschlüsselungsalgorithmus verschlüsselt, der weiter unten erläutert wird.
Die Betreiber von Grandoreiro haben die Liste der gezielten Bankanwendungen deutlich aufgewertet und zielen nun auf mehr als 1.500 Banken weltweit ab. Bei den neuesten Varianten wird zunächst festgestellt, ob das Opfer auf der Liste der Länder steht. Jedes Land ist außerdem einer größeren Region zugeordnet, anhand derer Grandoreiro bestimmt, welche String-Suchen in den aktuell aktiven Fenstern durchgeführt werden sollen. Das bedeutet, dass, wenn das Opferland beispielsweise als Belgien identifiziert wird, es nach allen gezielten Bankanwendungen sucht, die mit der Region Europa verbunden sind. Grandoreiro ordnet Länder intern den Regionenkategorien Europa, Nordamerika, Mittelamerika, Südamerika, Afrika, Indopazifik und globalen Inseln zu, wobei jede Region eine zugehörige Delphi-Klasse zur Suche nach Anwendungen hat. Darüber hinaus verfügt Grandoreiro über eine Klasse, die nach 266 eindeutigen Zeichenketten sucht, welche Kryptowährungs-Wallets identifizieren. Diese Klasse wird bei jeder Infektion ausgeführt.
Abbildung 11: Grandoreiro startet einen neuen Thread basierend auf der erkannten Länderregion
Die nachstehende Heatmap zeigt die Anzahl der einzelnen Anwendungen in den einzelnen Ländern. Beachten Sie, dass jede App mit mehreren Zeichenfolgen erkannt werden kann:
Abbildung 12: Grandoreiro zielte auf Anwendungen pro Land ab (mit Datawrapper erstellt und mit Informationen aus der Forschung des X-Force-Teams gefüllt)
Grandoreiro hat bisher auf Domain-Generierungsalgorithmen (DGA) zurückgegriffen, um seinen aktiven C2-Server auf Basis des aktuellen Datums zu berechnen. Die neueste Version von Grandoreiro enthält einen überarbeiteten Algorithmus und geht noch einen Schritt weiter, indem sie mehrere Startwerte für ihren DGA einführt. Diese Seeds werden verwendet, um für jeden Modus oder jede Funktionalität des Banking-Trojaners eine andere Domäne zu berechnen, wodurch die Trennung von C2-Aufgaben unter mehreren Betreibern im Rahmen ihrer Malware-as-a-Service-Operation ermöglicht wird. Jedes Grandoreiro-Beispiel kann einen standardmäßigen Haupt-Seed für den Fall enthalten, dass die Konfigurationsdatei fehlt, sowie eine Liste funktionsspezifischer Seeds. Die von X-Force analysierte Probe enthielt 14 verschiedene Seeds, was zu 14 möglichen C2-Domänen pro Tag führte. Um den Algorithmus zu erläutern, berechnen wir die Domains für den 17. April 2024. Das folgende Diagramm veranschaulicht den Algorithmus mit einer nachstehenden Erklärung:
Abbildung 13: DGA-Visualisierung
Beginnend mit der Domain-Apex hat Grandoreiro jedem Tag des Jahres eine Domain zugeordnet. Es gibt zwei dieser Zuordnungen, eine für das Haupt-C2 und eine für alle funktionsspezifischen C2s. Von den 732 Apex-Domains sind jedoch nur 337 einzigartig. Für den angegebenen Tag ist der primäre Apex dnsfor[.]me und die sekundäre URL ist neat-url[.]com.
Im nächsten Schritt verknüpft Grandoreiro den Seed „xretsmzrb“ (den Haupt-Seed) mit dem zweistelligen Format des aktuellen Monats, wobei jede Ziffer durch drei fest codierte Zeichen ersetzt wird. Die Ziffern „0“ und „4“ werden durch „oit“ bzw. „zia“ ersetzt, was zur vollständigen Zeichenfolge „xretsmzrboitzia“ führt.
Schließlich verfügt Grandoreiro für jeden Tag des Monats über eine individuelle Zeichen-zu-Zeichen-Ersetzungszuordnung. Nach dem 17. Durchlauf aller 26 Zeichenersetzungen lautet die endgültige Subdomain-Zeichenkette „wondbbhonandhnd“.
Nach Berechnung der verbleibenden Domains aller fest codierten Seeds ergibt sich die Liste der C2-Domains für den 17. April 2024:
X-Force konnte bestätigen, dass an diesem Tag mindestens 4 der Domains zu brasilianischen IP-Adressen aufgelöst wurden:
Der Port des C2-Servers wird aus den ersten vier Ziffern der IP-Adresse über eine benutzerdefinierte Ziffer-zu-Ziffer-Zuordnung berechnet, genau wie beim Grandoreiro-Loader. Eine vollständige Liste aller vorab berechneten Grandoreiro-Domains finden Sie im Anhang. Beachten Sie, dass Grandoreiro die Seeds häufig wechselt. Ein paar Wochen nach der ersten Infektion stellte X-Force fest, dass nur noch der Haupt-Seed-Server C2 aktiv war.
Untersuchungen zur X-Force-DNS-Telemetrie für Anfang Mai zeigen, dass aktuelle Infektionen hauptsächlich in Lateinamerika vorliegen:
Abbildung 14: Geolokalisierung von Infektionen Anfang Mai
Nach dem Versuch, die berechnete DGA aufzulösen, sendet Grandoreiro eine von mehreren Registrierungsnachrichten, die mit Aufzählungsdaten verkettet und verschlüsselt sind, genau wie der Grandoreiro Loader. Die folgenden Meldungen können je nach Berechtigungen, installiertem AV und aktiven C2-Domänen gesendet werden:
Grandoreiro unterstützt eine große Anzahl verschiedener Befehle, darunter die folgenden:
Die Malware unterstützt außerdem gezielt das Öffnen fest codierter Banco Banorte-URLs:
Sie ermöglicht außerdem die Ausführung von JavaScript-Befehlen im Browser, um Klicks auf HTML-Schaltflächen zu simulieren:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
Aufgrund der großen Anzahl verschiedener Befehle und ihrer Benennung scheint der Grandoreiro-Codebestand sowohl neu hinzugefügte Befehle als auch Altlasten zu enthalten, die nicht mehr aktiv genutzt werden. Der Banking-Trojaner durchläuft wahrscheinlich häufige Entwicklungszyklen, um neue Funktionen ohne viel Refactoring hinzuzufügen, was zur Gesamtgröße der Codebasis beiträgt.
Eine der interessantesten Funktionen von Grandoreiro ist seine Fähigkeit, sich zu verbreiten, indem es Daten aus Outlook sammelt und das Konto des Opfers nutzt, um Spam-E-Mail zu versenden. In Grandoreiro sind mindestens drei Mechanismen implementiert, um E-Mail-Adressen zu sammeln und zu exfiltrieren, wobei jeder einen anderen DGA-Seed verwendet. Durch die Verwendung des lokalen Outlook-Clients für Spamming kann Grandoreiro sich per E-Mail in den Posteingängen der infizierten Opfer verbreiten, was wahrscheinlich zu dem großen Spam-Volumen beiträgt, das von Grandoreiro beobachtet wurde.
Für den Outlook-Harvesting-Modus schaltet Grandoreiro seinen C2 auf DGA Seed 7 um, der zum Exfiltrieren von Daten verwendet wird. Logging- und Statusmeldungen werden weiterhin auf den Hauptserver C2 weitergeleitet. Beispielsweise sendet er vor Beginn des Erfassungsprozesses ein Protokoll zurück, das die gleichen Opferprofildaten sowie die Zeichenketten „CLIENT_SOLICITA_DD_EMSOUT“ (Client fragt nach EMSOUT-Daten) und „COLHENDO“ (Harvesting) enthält.
Um mit dem lokalen Outlook-Client zu interagieren, verwendet Grandoreiro das Outlook Security Manager Tool, eine Software zur Entwicklung von Outlook-Add-ins. Der Hauptgrund hierfür ist, dass der Outlook Object Model Guard Sicherheitswarnungen auslöst, wenn er einen Zugriff auf geschützte Objekte erkennt. Mit dem Outlook Security Manager kann Grandoreiro diese Warnmeldungen sowohl während des Sammelns als auch während des Spam-Verhaltens deaktivieren. Je nach Systemarchitektur benötigt das Tool die DLL „secman.dll“ oder „secman64.dll“. um als COM-Server registriert zu werden. Anschließend nutzt es MAPI zur Interaktion mit Outlook.
Die Malware beginnt damit, den Root-Postfachordner zu finden und iteriert dann rekursiv durch die E-Mail-Elemente. Für jede E-Mail wird die Eigenschaft „SenderEmailAddress“ überprüft und eine Sperrliste dagegen ausgeführt, um unerwünschte E-Mail-Adressen für die Datenerfassung herauszufiltern:
E-Mail-Adressen, die keine der oben genannten Zeichenketten enthalten, werden in einer Textdatei aggregiert, ZIP-komprimiert und exfiltriert.
Zusätzlich zum oben beschriebenen Harvesting-Prozess unterstützt Grandoreiro auch das Hinzufügen einer PST-Datei zu Outlook über die Funktion Namespace.AddStore(). Ein weiterer unterstützter Harvesting-Mechanismus durchsucht rekursiv das Dateisystem des Opfers und scannt Dateien nach E-Mail-Adressen. Dateien mit den folgenden Erweiterungen werden geöffnet und gescannt:
“*.txt”, “*.csv”, “*.html”, “*.xml”, “*.dat”, “*.db”, “*.sqlite”, “*.xlsx”, “*.xls”, “*.xlsm”, “*.dbf”, “*.doc”, “*.docx”, “*.docm”
Um unnötige Scans zu vermeiden, pflegt Grandoreiro eine weitere Sperrliste mit Pfaden, die nicht gescannt werden sollen, wobei gängige Systemverzeichnisse ausgenommen sind.
Um Spam-E-Mails zu versenden, verwendet Grandoreiro Phishing-Vorlagen, die er von seinem C2-Server erhält. Anschließend geht es durch die Vorlage und füllt Platzhalterfelder aus, wie zum Beispiel:
Unmittelbar vor dem Versenden von E-Mails startet Grandoreiro einen Thread, um auftauchende Dialogfelder zu erkennen und sie durch gezieltes Drücken der TAB- und SPACEBAR-Taste wegzuklicken. Nach dem Versand der E-Mails verwischt die Malware sorgfältig ihre Spuren, indem sie die gesendeten Nachrichten aus der Mailbox des Opfers löscht. Darüber hinaus stellt Grandoreiro bei vielen Harvesting- und Spam-Aktivitäten sicher, dass die letzte Eingabe auf dem infizierten Rechner mindestens 5 Minuten zurückliegt (in manchen Fällen auch länger). Die Entwickler wollten vermutlich sicherstellen, dass die Opfer kein verdächtiges Verhalten bemerken.
Während des Spammings sendet Grandoreiro die folgenden Statusmeldungen zurück:
Da Grandoreiro eine so umfangreiche Malware ist, benötigt sie eine riesige Menge an Zeichenketten, deren Erkennung sehr einfach wäre, wenn sie unverschlüsselt blieben. Grandoreiro hat mehr als 10.000 Zeichenketten, verteilt auf mehr als hundert funktionsspezifische Funktionen zum Laden von Zeichenketten. Der Entschlüsselungsmechanismus unterscheidet sich leicht von der String-Entschlüsselung des Loaders:
Er verwendet denselben Grandoreiro-Schlüssel wie der Loader, den es über seine eigene Verschlüsselung und den Schlüssel „A“ entschlüsselt. Sobald er den Schlüssel hat, decodiert er die verschlüsselte Zeichenkette individuell mit derselben Codierung wie der Loader und entschlüsselt dann die resultierenden Bytes im AES-ECB-Modus mit der ElAES Pascal-Implementierung. Der AES-Schlüssel ist eine verschlüsselte Version des zuvor entschlüsselten Grandoreiro-Schlüssels. Nach einer weiteren Runde benutzerdefinierter Dekodierung wird der String schließlich mit dem alten Grandoreiro-Algorithmus und dem Grandoreiro-Schlüssel entschlüsselt.
Abb. 15: Entschlüsselung des Grandoreiro-Banking-Trojaners
X-Force® beobachtete mehrere aktuelle Phishing-Kampagnen, bei denen sich die Angreifer als offizielle Regierung ausgaben, um den Banking-Trojaner Grandoreiro zu verbreiten. Grandoreiro-Distributoren richten sich typischerweise an Nutzer in Lateinamerika; seit der jüngsten Strafverfolgungsmaßnahme gegen Grandoreiro-Betreiber hat X-Force jedoch beobachtet, dass sich die Malware außerhalb von LATAM in Regionen Mittel- und Südamerikas, Afrikas, Europas und des Pazifiks verbreitet. Die von X-Force analysierten Samples des Grandoreiro-Bankentrojaners wurden in den Algorithmen zur String-Entschlüsselung und DGA-Berechnung umfassend aktualisiert. Diese neu analysierten Samples umfassen nun eine große Anzahl von mindestens 1.500 globalen Bankanwendungen, die als Ziel dienen und die Ausführung unterstützen und es Angreifern ermöglichen, Bankbetrug in über 60 Ländern zu begehen. Die Aktualisierungen der Malware sowie die deutliche Zunahme von Anwendungen in mehreren Ländern deuten darauf hin, dass die Grandoreiro-Verteiler versuchen, Kampagnen durchzuführen und Malware auf globaler Ebene zu verbreiten.
Wir empfehlen Unternehmen, die von diesen Kampagnen betroffen sein könnten, Folgendes zu überprüfen:
Indikator
Art des Indikators
Kontext
root@yhsp<two digit number>.rufnag.com
E-Mail-Adresse
E-Mail-Absender
hxxps[:]//pjohconstruccionescpaz[.]com/?8205-23069071&tokenValue=
92b768ccface4e96cee662517800b208f88ff796
URL
Malicious Archive Download Link
97f3c0beef87b993be321b5af3bf748cc8e003e
6e90cf5febf69dfd81e85f581
SHA256
ZIP Archive
afd53240a591daf50f556ca952278cf098dbc5
b6c2b16c3e46ab5a0b167afb40
SHA256
ZIP Archive
f8f2c7020b2d38c806b5911acb373578cbd69
612cbe7f21f172550f4b5d02fdb
SHA256
Grandoreiro Loader Component
10b498562aef754156e2b540754bf1ccf9a9cb
62c732bf9b661746dd08c67bd1
SHA256
Grandoreiro Loader Component
aviso.<four digit number>@cfe.mx
E-Mail-Adresse
E-Mail-Absender
hxxps[:]//hilcfacdigitaelpichipt[.]norwayeast[.]cloudapp
.azure[.]com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Malicious Archive Download Link
55426bb348977496189cc6a61b711a3aadde
155772a650ef17fba1f653431965
SHA256
ZIP Archive
arq_@other.com.<four Ziffernzahl>
E-Mail-Adresse
E-Mail-Absender
root@<6 alpha-numeric value>.rufnag.com
E-Mail-Adresse
E-Mail-Absender
bfcd71a4095c2e81e2681aaf0239436368bc2
ebddae7fdc8bb486ffc1040602c
SHA256
ZIP Archive
3f920619470488b8c1fda4bb82803f72205
b18b1ea31402b461a0b8fe737d6bd
SHA256
Grandoreiro Loader Component
84572c0de71bce332eb9fa03fd34243326
3ad0c4f95dd3acd86d1207fa7d23f0
SHA256
Grandoreiro
hxxps[:]//pjohconstruccionescpaz[.]com?docs/xml
/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a
URL
Malicious Archive Download Link
29f19d9cd8fe38081a2fde66fb2e1eff33c
4d4b5714ef5cada5cc76ec09bf2fa
SHA256
ZIP Archive
hxxps[:]//onwfacttasunslahf[.]norwayeast[.]cloudapp
[.]azure[.]com?_task=mail&_action=get&_mbox=
INBOX&_uid=19101&_token=
rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part
=1.2.3&_embed=1&_mimeclass=image
URL
Malicious Archive Download Link
2ab8c3a1a7fe14a49084fbf42bbdd04d63
79e6ae2c74d801616e2b9cf8c8519c
SHA256
Grandoreiro Loader Component
hxxps[:]//servicerevenueza[.]southeastasi
a[.]cloudapp.azure[.]com/?PDF-XML-71348793
URL
Malicious Archive Download Link
root[@]zpmbnoxf[.]crazydocuments[.]com
E-Mail-Adresse
E-Mail-Absender
d005abe0a29b53c5995a10ce540cc2ff
be96e7f80bf43206d4db7921b6d6aa10
SHA256
Grandoreiro Loader Component
70f22917ec1fa3a764e21f16d68af80b69
7fb9d0eb4f9cd6537393b622906908
SHA256
Grandoreiro Loader Component
fb3d843d35c66f76b1b1b88260ad2009
6e118ef44fd94137dbe394f53c1b8a46
SHA256
Grandoreiro Loader Component
6772d2425b5a169aca824de3ff2aac400
fa64c3edd93faaabd17d9c721d996c1
SHA256
Grandoreiro Loader Component
gruposat@gob.mx
E-Mail-Adresse
E-Mail-Absender
marcasat@gob.mx
E-Mail-Adresse
E-Mail-Absender
assistance@gov.za
E-Mail-Adresse
E-Mail-Absender
hxxps[:]//officebusinessaccount[.]Eastus[.]cloudapp
[.]azure[.]com/?PDF-XML-<eight digit number>
URL
Malicious Archive Download Link
hxxps[:]//servicerevenueza[.]southeastasia[.]
cloudapp [.] azure [.] com/? PDF-XML-<eight digit number>
URL
Malicious Archive Download Link
18.231.181[.]227
IPv4
Grandoreiro C2 Server
18.231.158[.]159
IPv4
Grandoreiro C2 Server
15.229.211[.]175
IPv4
Grandoreiro C2 Server
15.228.245[.]103