Sejak Maret 2024, IBM® X-Force telah melacak beberapa kampanye phishing skala besar yang mendistribusikan trojan perbankan Grandoreiro, yang kemungkinan dioperasikan sebagai Malware-as-a-Service (MaaS). Analisis malware mengungkapkan pembaruan besar dalam dekripsi string dan algoritma pembuatan domain (DGA), serta kemampuan untuk menggunakan klien Microsoft Outlook pada host yang terinfeksi untuk menyebarkan email phishing lebih lanjut. Varian malware terbaru juga secara khusus menargetkan lebih dari 1500 bank global, memungkinkan penyerang melakukan penipuan perbankan di lebih dari 60 negara termasuk wilayah Amerika Tengah dan Selatan, Afrika, Eropa, dan Indo-Pasifik. Meskipun kampanye secara tradisional terbatas di Amerika Latin, Spanyol dan Portugal, X-Force mengamati kampanye baru-baru ini yang menyamar sebagai Layanan Administrasi Pajak Meksiko (SAT), Komisi Listrik Federal Meksiko (CFE), Sekretaris Administrasi dan Keuangan Meksiko, Revenue Service Argentina, dan terutama South African Revenue Service (SARS). Malware yang dikerjakan ulang dan penargetan baru dapat mengindikasikan perubahan strategi sejak tindakan penegakan hukum terbaru terhadap Grandoreiro, kemungkinan mendorong operator untuk mulai memperluas penerapan Grandoreiro dalam kampanye phishing global, dimulai dengan Afrika Selatan.
Sejak Maret 2024, X-Force telah mengamati kampanye phishing yang menyamar sebagai Layanan Administrasi Pajak Meksiko (SAT), Komisi Listrik Federal Meksiko (CFE), Sekretaris Administrasi dan Keuangan untuk kota Meksiko, dan Dinas Pendapatan Argentina. Email tersebut menargetkan pengguna di Amerika Latin, termasuk domain tingkat atas (TLD) dari Meksiko, Kolombia, dan Chili ".mx", ".co", dan ".cl". Setiap identitas asli telah disunting dari gambar untuk privasi pribadi.
Kampanye pertama tampaknya merupakan upaya untuk dianggap resmi dan mendesak dan memberi tahu target bahwa mereka menerima pemberitahuan akhir mengenai debit ke Biaya Pendaftaran Wajib Pajak Federal (RFC) yang belum dibayar. Jika tidak dibayar, konsekuensinya dapat mencakup hukuman, denda, dan pemblokiran nomor identifikasi pajak pengguna yang memengaruhi kemampuan target untuk melakukan bisnis dan mengakses layanan pemerintah secara legal. Kampanye tambahan menyamar sebagai Komisi Listrik Federal Meksiko (CFE) dan mengingatkan penerima bahwa mereka berlangganan CFEmail, dan karenanya dapat mengakses pernyataan akun mereka dalam format PDF dan XML dengan mengklik salah satu tautan yang disematkan. Kampanye ketiga meniru Sekretaris Administrasi dan Keuangan, mengarahkan penerima untuk mengklik PDF untuk membaca detail mengenai pemberitahuan kepatuhan. Kampanye yang meniru Revenue Service of Argentina menginstruksikan pengguna untuk mengunduh dokumen pajak baru dan mengambil tindakan yang berlaku.
Dalam setiap kampanye, penerima diinstruksikan untuk mengklik tautan untuk melihat faktur atau biaya, pernyataan akun, melakukan pembayaran, dll. tergantung pada entitas yang ditiru. Jika pengguna yang mengklik tautan berada di negara tertentu (tergantung pada kampanye, Meksiko, Chili, Spanyol, Kosta Rika, Peru, atau Argentina), mereka diarahkan ke gambar ikon PDF, dan file ZIP diunduh di latar belakang. File ZIP berisi file eksekusi besar yang disamarkan dengan ikon PDF, ditemukan telah dibuat sehari sebelum, atau hari email dikirim.
Gambar 1, 2: Contoh email yang menyamar sebagai SAT, dan CFE
Gambar 3, 4: Sekretaris Admin dan Keuangan, dan AFIP
Biasanya malware Grandoreiro terlihat dalam kampanye yang menargetkan pengguna di Amerika Latin; Namun, setelah penangkapan baru-baru ini dilakukan yang melibatkan operator Grandoreiro, X-Force telah melihat lonjakan kampanye yang menjangkau area di luar LATAM, termasuk TLD dari Spanyol, Jepang, Belanda, dan Italia. X-Force mengamati kampanye phishing yang menyamar sebagai South African Revenue Service (SARS), yang konon berasal dari Divisi Layanan Bantuan Wajib Pajak. Kemungkinan dieksekusi oleh operator yang sama, X-Force juga mengamati dua kampanye yang menyamar sebagai Layanan Administrasi Pajak Meksiko. Email ditulis dalam bahasa Inggris, atau Spanyol, dan menyerupai format yang sama. Email merujuk nomor Pajak dan memberi tahu penerima bahwa mereka menerima faktur pajak elektronik yang sesuai dengan peraturan yang ditetapkan oleh Layanan Pendapatan Afrika Selatan, atau sesuai dengan peraturan Layanan Administrasi Pajak. Pengguna diberikan tautan PDF atau XML untuk melihat faktur yang memulai pengunduhan arsip ZIP yang berisi loader Grandoreiro yang dapat dieksekusi "SARS 35183372 eFiling 32900947.exe" (angka bervariasi antara sampel).
Gambar 5, 6, 7: Contoh email yang menyamar sebagai SAT dan SARS
Sejalan dengan kampanye sebelumnya, rantai infeksi Grandoreiro dimulai dengan pemuat khusus. Seringkali, file yang dapat dieksekusi membengkak hingga ukuran lebih dari 100MB untuk menghalangi pemindaian anti-virus otomatis. Dengan harapan menghindari eksekusi otomatis, malware ini menampilkan pop-up CAPTCHA kecil yang meniru Adobe PDF reader, yang memerlukan klik untuk melanjutkan proses eksekusi.
Gambar 8: Grandoreiro pembaca PDF Adobe palsu CAPTCHA
Loader memiliki tiga tugas utama:
Semua tugas ini membutuhkan lebih dari 120 string penting, yang dienkripsi menggunakan algoritma yang ditingkatkan.
Pertama, Grandoreiro memulai dengan menghasilkan string kunci besar, yang di-hardcode dan dikodekan triple-base64. Kunci yang diamati dalam sampel ini dimulai dengan “D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…”. Kemudian mengambil string terenkripsi dan menggunakan decoding khusus untuk mengubahnya menjadi serangkaian karakter heksadesimal yang ditafsirkan sebagai byte.
Gambar 9: Pengodean hex khusus Grandoreiro (perhatikan bahwa pengodean karakter non-hex seperti '”' tidak pernah digunakan)
Grandoreiro mendekripsi hasilnya melalui algoritma Grandoreiro lama menggunakan string kunci. Di bawah ini adalah implementasi Python dari rutin dekripsi:
Terakhir, data tersebut menjalani putaran akhir dekripsi AES 256-bit dalam mode CBC serta proses unpadding untuk mendapatkan string plaintext. Baik kunci AES maupun Initialization Vector (IV) juga disimpan sebagai string terenkripsi dan harus didekripsi menggunakan algoritma yang sama seperti di atas, namun tanpa menjalankan proses dekripsi AES. Grafik di bawah ini memberikan gambaran umum tentang proses dekripsi lengkap:
Gambar 10: Dekripsi string loader Grandoreiro
Untuk memverifikasi bahwa korban bukan bagian dari lingkungan kotak pasir, pemuat Grandoreiro mengumpulkan informasi berikut dan memeriksanya terhadap daftar nilai hardcode (lihat Lampiran):
Langkah verifikasi ini juga digunakan untuk melarang korban dari negara tertentu. Satu sampel tidak melanjutkan eksekusi untuk infeksi dengan IP publik dari:
Sampel ini juga mencegah infeksi mesin Windows 7 yang berbasis di AS tanpa anti-virus.
Langkah eksekusi berikutnya mencoba membangun profil dasar korban untuk ditampilkan pada panel C2. Malware menyebutkan informasi berikut pada mesin korban:
Grandoreiro menggabungkan hasil menggunakan string “*~+” dan mengirimkannya sebagai bagian dari permintaan payload terenkripsi ke server C2.
Server C2 pemuat Grandoreiro dapat didekripsi melalui algoritma yang sama yang dijelaskan di atas. Nama domain yang dihasilkan diselesaikan melalui DNS melalui HTTPS melalui URL https://dns.google/resolve?name=<C2 server> untuk menghindari pemblokiran berbasis DNS. Setelah menerima alamat IP C2, malware mengambil 4 digit pertama IP dan menjalankan 4 pemetaan digit-to-digit yang berbeda di atasnya sehingga menghasilkan nomor port 4 digit.
Kemudian menggabungkan string profil korban dari atas bersama dengan pesan Portugis berhuruf besar “CLIENT_SOLICITA_DDS_MDL” (kemungkinan diterjemahkan menjadi “Klien meminta data modul”). Contoh string adalah:
String dienkripsi dan dikirim sebagai jalur URL melalui permintaan HTTP GET ke server C2 yang meminta payload Grandoreiro akhir.
Jika berhasil, server C2 membalas dengan kode status HTTP 200 yang berisi pesan terenkripsi lainnya. Ini berisi informasi berikut:
Contoh:
Untuk mengunduh, Grandoreiro mengeluarkan permintaan HTTP GET lain ke URL payload. File yang diunduh disimpan dalam nama direktori yang ditentukan di bawah “C:\ProgramData\”. Selanjutnya, file didekripsi melalui algoritma berbasis RC4 menggunakan kunci “7684223510”. Akhirnya, itu didekompresi menggunakan perpustakaan Delphi “ZipForge”, dan file yang awalnya diunduh dihapus.
Arsip mungkin berisi dua file, .EXE (Grandoreiro banking trojan) dan.CFG (file konfigurasi).
Sebelum eksekusi, loader melakukan enumerasi keanggotaan grup token proses saat ini, secara khusus memeriksa keberadaan SECURITY_NT_AUTHORITY SID. Jika proses memiliki hak istimewa yang diperlukan, loader menggunakan fungsi shell ExecuteW () dengan kata kerja 'runas' untuk mengeksekusi payload Grandoreiro dengan hak istimewa yang ditingkatkan. Sebaliknya, jika hak istimewa yang diperlukan tidak tersedia, loader menggunakan eksekusi sendiri melalui shell ExecuteW () tanpa elevasi.
Selama semua tahap infeksi—pengunduhan muatan, dekripsi, dan eksekusi—Loader Grandoreiro melaporkan kembali pesan status ke server C2-nya. Beberapa contohnya adalah:
Payload terakhir adalah trojan perbankan Grandoreiro. Versi terbaru telah mengalami pembaruan besar terutama dalam dekripsi string dan algoritma perhitungan DGA. Ini juga mencakup sejumlah besar aplikasi perbankan global untuk menargetkan, mendukung eksekusi, dan memungkinkan penyerang melakukan penipuan perbankan di puluhan negara. Bersama dengan modul penyebar Outlook khusus dan berbagai fitur, ini adalah salah satu trojan perbankan terbesar yang diketahui dan analisis masih berlangsung. Bagian berikut menyajikan pandangan mendalam tentang karakteristik Grandoreiro yang paling menonjol, menyoroti fitur, dan fungsionalitasnya yang penting.
Grandoreiro memulai dengan membangun kegigihan melalui registri Windows. Grandoreiro menjalankan perintah berikut untuk membuat kunci Jalankan registri baru dan meluncurkan malware pada login pengguna:
Perhatikan bahwa nama kunci mungkin berbeda di antara sampel, tetapi sering dikaitkan dengan nama file asli dari muatan yang diunduh. Jika Grandoreiro tidak berjalan dalam proses yang ditinggikan, kata kerja “/runas” dihilangkan.
Selain file.CFG, Grandoreiro juga membuat file.XML di direktori C:\Public\ . File ini dienkripsi melalui rutinitas enkripsi string loader dan menyimpan nama file Grandoreiro yang dapat dieksekusi, jalur, dan tanggal infeksi.
Jika Grandoreiro tidak dapat menemukan berkas .CFG, malware ini akan membuat .CFG baru berisi nilai default yang menentukan fungsi-fungsi Grandoreiro yang diaktifkan, negara korban, dan tanggal infeksinya. File .CFG dienkripsi melalui algoritma enkripsi string Grandoreiro yang dijelaskan lebih lanjut di bawah ini.
Operator Grandoreiro secara signifikan meningkatkan daftar aplikasi perbankan yang ditargetkan, sekarang menargetkan lebih dari 1500 bank di seluruh dunia. Varian terbaru dimulai dengan terlebih dahulu menentukan apakah korban ada dalam daftar negara yang ditargetkan. Setiap negara juga dipetakan ke wilayah yang lebih besar, yang digunakan Grandoreiro untuk menentukan pencarian string mana yang harus dijalankan pada jendela yang saat ini aktif. Ini berarti bahwa, jika negara korban misalnya diidentifikasi sebagai Belgia, ia akan mencari semua aplikasi perbankan yang ditargetkan terkait dengan wilayah Eropa. Grandoreiro secara internal memetakan negara ke kategori wilayah Eropa, Amerika Utara, Amerika Tengah, Amerika Selatan, Afrika, Indo-Pasifik dan pulau-pulau global, dengan setiap wilayah memiliki kelas Delphi terkait untuk mencari aplikasi bank. Selain itu, Grandoreiro memiliki kelas yang mencari 266 string unik yang mengidentifikasi dompet cryptocurrency, yang dijalankan pada setiap infeksi.
Gambar 11: Grandoreiro meluncurkan utas baru berdasarkan wilayah negara yang terdeteksi
Heatmap di bawah ini menyoroti jumlah aplikasi perbankan unik yang terkait dengan masing-masing negara. Perhatikan bahwa setiap aplikasi dapat dideteksi dengan beberapa string:
Gambar 12: Grandoreiro menargetkan aplikasi perbankan per negara (dibuat menggunakan Datawrapper dan diisi dengan informasi dari riset tim X-Force)
Grandoreiro secara tradisional mengandalkan algoritma pembuatan domain (DGA) untuk menghitung server C2 aktifnya berdasarkan tanggal saat ini. Iterasi terbaru Grandoreiro berisi algoritma yang dikerjakan ulang dan membawanya selangkah lebih maju dengan memperkenalkan beberapa benih untuk DGA-nya. Benih ini digunakan untuk menghitung domain yang berbeda untuk setiap mode atau fungsionalitas trojan perbankan, memungkinkan pemisahan tugas C2 di antara beberapa operator sebagai bagian dari operasi Malware-as-a-Service mereka. Setiap sampel Grandoreiro mungkin memiliki benih default utama jika file konfigurasi hilang, serta daftar benih spesifik fungsi. Sampel yang dianalisis X-Force mengandung 14 benih berbeda, yang mengarah ke 14 kemungkinan domain C2 setiap hari. Untuk menjelaskan algoritma, kami akan menghitung domain untuk 17 April 2024. Bagan berikut memberikan visualisasi algoritma dengan penjelasan di bawah ini:
Gambar 13: Visualisasi DGA
Dimulai dengan puncak domain, Grandoreiro memiliki satu domain yang dipetakan ke setiap hari sepanjang tahun. Ada dua pemetaan ini, satu untuk C2 utama dan satu untuk semua C2 spesifik fungsi. Namun, dari 732 domain puncak, hanya 337 yang unik. Untuk hari tertentu, puncak utama adalah dnsfor [.]me dan yang kedua adalah neat-url[.]com.
Untuk bagian selanjutnya, Grandoreiro menggabungkan benih “xretsmzrb” (benih utama) dengan 2 digit yang diformat bulan saat ini, mengganti setiap digit dengan tiga karakter hardcode. Digit “0" dan “4" diganti dengan “oit” dan “zia” masing-masing, menghasilkan string lengkap “xretsmzrboitzia”.
Akhirnya, untuk setiap hari dalam sebulan, Grandoreiro memiliki karakter khusus untuk pemetaan penggantian karakter. Untuk tanggal 17, setelah menjalankan semua 26 penggantian karakter secara berulang, string subdomain terakhir adalah “wondbbhonandhnd”.
Setelah menghitung domain yang tersisa untuk semua benih hardcode, daftar domain C2 untuk 17 April 2024 menjadi:
X-Force dapat mengkonfirmasi setidaknya 4 domain yang diselesaikan pada hari itu ke IP berbasis Brasil:
Port server C2 dihitung dari empat digit pertama alamat IP melalui pemetaan digit-to-digit kustom seperti pemuat Grandoreiro. Lihat Lampiran untuk daftar lengkap semua domain Grandoreiro yang telah dihitung sebelumnya. Perhatikan bahwa Grandoreiro sering mengganti benih. Beberapa minggu setelah infeksi awal X-Force mengamati hanya server C2 benih utama yang tetap aktif.
Riset telemetri DNS X-Force untuk awal Mei menunjukkan infeksi saat ini terutama terletak di Amerika Latin:
Gambar 14: Geolokasi infeksi pada awal Mei
Setelah mencoba menyelesaikan DGA yang dihitung, Grandoreiro mengirim salah satu dari beberapa pesan pendaftaran yang digabungkan dengan data enumerasi dan dienkripsi, seperti pemuat Grandoreiro. Pesan berikut dapat dikirim berdasarkan hak istimewa, AV yang diinstal, dan domain C2 aktif:
Grandoreiro mendukung sejumlah besar perintah yang berbeda, termasuk yang berikut:
Malware ini juga secara khusus mendukung pembukaan URL Banco Banorte hardcode:
Ini lebih lanjut memungkinkan eksekusi perintah JavaScript di browser untuk mensimulasikan klik tombol HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
Karena banyaknya perintah yang berbeda dan penamaan mereka, basis kode Grandoreiro tampaknya berisi perintah yang baru ditambahkan serta fitur lama yang tidak lagi digunakan secara aktif. Trojan perbankan kemungkinan akan melalui siklus pengembangan yang sering untuk menambahkan fitur baru tanpa banyak refactoring, berkontribusi pada ukuran keseluruhan basis kode.
Salah satu fitur Grandoreiro yang paling menarik adalah kemampuan untuk menyebar dengan memanen data dari Outlook dan menggunakan akun korban untuk mengirim email spam. Setidaknya ada 3 mekanisme yang diterapkan di Grandoreiro untuk memanen dan mengeksfiltrasi alamat email, dengan masing-masing menggunakan benih DGA yang berbeda. Dengan menggunakan klien Outlook lokal untuk spamming, Grandoreiro dapat menyebar melalui kotak masuk korban yang terinfeksi via email, yang kemungkinan berkontribusi pada sejumlah besar volume spam yang diamati dari Grandoreiro.
Untuk mode pemanenan Outlook, Grandoreiro mengalihkan C2 ke benih DGA 7 yang digunakan untuk mengeksfiltrasi data. Pencatatan dan pesan status dilanjutkan ke server C2 utama. Misalnya, sebelum memulai proses panen, log kembali dikirimkan yang berisi data profil korban yang sama serta string “CLIENT_SOLICITA_DD_EMSOUT” (Klien meminta data EMSOUT) dan “COLHENDO” (panen).
Untuk berinteraksi dengan klien Outlook lokal, Grandoreiro menggunakan alat Outlook Security Manager, perangkat lunak yang digunakan untuk mengembangkan add-in Outlook. Alasan utama di balik ini adalah bahwa Outlook Object Model Guard memicu peringatan keamanan jika deteksi akses pada objek yang dilindungi. Outlook Security Manager memungkinkan Grandoreiro untuk menonaktifkan peringatan ini selama perilaku pemanenan dan spamming. Bergantung pada arsitektur sistem, alat ini membutuhkan DLL “secman.dll” atau “secman64.dll” untuk didaftarkan sebagai server COM. Kemudian menggunakan MAPI untuk berinteraksi dengan Outlook.
Malware dimulai dengan menemukan folder kotak surat root dan kemudian secara rekursif mengulangi item email. Untuk setiap email, malware memeriksa properti “SenderEmailAddress” dan mencocokkannya dengan blocklist untuk menyaring alamat-alamat email yang tidak ingin dikumpulkan:
Alamat email yang tidak mengandung salah satu string di atas digabungkan dalam file teks, ZIP dikompresi dan dieksfiltrasi.
Selain proses panen di atas, Grandoreiro juga mendukung penambahan file PST ke Outlook terlebih dahulu melalui fungsi Namespace.addStore(). Mekanisme pemanenan lain yang didukung secara rekursif melalui sistem file korban dan memindai file untuk alamat email. File dengan ekstensi berikut dibuka dan dipindai:
“*.txt”, “*.csv”, “*.html”, “*.xml”, “*.dat”, “*.db”, “*.sqlite”, “*.xlsx”, “*.xls”, “*.xlsm”, “*.dbf”, “*.doc”, “*.docx”, “*.docm”
Untuk mencegah pemindaian yang tidak perlu, Grandoreiro mempertahankan daftar blokir jalur lain yang tidak akan dipindai, tidak termasuk direktori sistem umum.
Untuk mengirim email spam, Grandoreiro menggunakan templat phishing yang diterimanya dari server C2-nya. Kemudian melewati templat dan mengisi bidang placeholder seperti:
Tepat sebelum mulai mengirim email, Grandoreiro memulai utas untuk mendeteksi kotak dialog yang muncul dan mengkliknya dengan mengirimkan penekanan tombol TAB dan SPACEBAR tertentu. Setelah mengirim email, malware dengan hati-hati menutupi jejaknya dengan menghapus pesan yang dikirim dari kotak surat korban. Juga, untuk banyak perilaku pemanenan dan spamming, Grandoreiro memastikan bahwa input terakhir pada mesin yang terinfeksi setidaknya 5 menit yang lalu (atau dalam beberapa kasus lebih lama). Para pengembang kemungkinan ingin memastikan korban tidak akan melihat perilaku yang mencurigakan.
Selama melakukan spamming, Grandoreiro melaporkan kembali pesan status berikut ini:
Dengan Grandoreiro menjadi malware yang sangat besar, diperlukan sejumlah besar string, yang akan membuat deteksi sangat mudah jika dibiarkan tidak terenkripsi. Grandoreiro memiliki lebih dari 10k string yang tersebar di antara lebih dari seratus fungsi pemuatan string khusus fitur. Mekanisme dekripsi sedikit berbeda dari dekripsi string loader:
Bagian ini menggunakan kunci Grandoreiro yang sama dengan loader, yang didekripsi melalui enkripsi dan kunci “A”. Setelah mendapatkan kunci, versi ini akan mendekode string terenkripsi menggunakan pengodean yang sama dengan pemuat dan kemudian mendekripsi byte yang dihasilkan melalui mode AES ECB menggunakan implementasi ElAES Pascal. Kunci AES adalah versi acak dari kunci Grandoreiro yang sebelumnya didekripsi. Setelah putaran pendekodean khusus lainnya, string akhirnya didekripsi melalui algoritma Grandoreiro lama dan kunci Grandoreiro.
Gambar 15: Dekripsi string trojan perbankan Grandoreiro
X-Force mengamati beberapa kampanye phishing baru-baru ini yang menyamar sebagai entitas pemerintah resmi untuk mengirimkan trojan perbankan Grandoreiro. Distributor Grandoreiro biasanya menargetkan pengguna di Amerika Latin; Namun, sejak tindakan penegakan hukum terbaru terhadap operator Grandoreiro, X-Force telah mengamati malware menyebar di luar LATAM untuk mencakup wilayah di Amerika Tengah dan Selatan, Afrika, Eropa, dan Pasifik. Sampel trojan perbankan Grandoreiro yang telah dianalisis X-Force telah mengalami pembaruan besar dalam dekripsi string dan algoritma Perhitungan DGA. Sampel yang baru dianalisis ini sekarang mencakup sejumlah besar setidaknya 1500 aplikasi perbankan global untuk ditargetkan, yang mendukung eksekusi dan memungkinkan penyerang melakukan penipuan perbankan di lebih dari 60 negara. Pembaruan yang dilakukan untuk malware, selain peningkatan signifikan dalam aplikasi perbankan di beberapa negara, menunjukkan bahwa distributor Grandoreiro berusaha untuk melakukan kampanye dan mengirimkan malware dalam skala global.
Kami mendorong organisasi yang mungkin terkena dampak kampanye ini untuk meninjau rekomendasi berikut:
