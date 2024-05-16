منذ مارس 2024، تتابع IBM X-Force عدة حملات تصيد احتيالي واسعة النطاق تنشر حصان طروادة المصرفي Grandoreiro، والذي من المرجح أن يعمل في دور برنامج ضار كخدمة (MaaS). كشف تحليل البرامج الضارة عن تحديثات كبيرة في خوارزمية فك تشفير السلاسل النصية وخوارزمية إنشاء النطاقات (DGA)، بالإضافة إلى إمكانية استخدام عملاء Microsoft Outlook الموجودين على المضيفين المصابين لنشر المزيد من رسائل التصيد الاحتيالي. يستهدف أحدث نوع من البرامج الضارة أكثر من 1500 بنك عالمي بشكل خاص، ما يُمكّن المهاجمين من ارتكاب أنشطة احتيال مصرفي في أكثر من 60 دولة بما في ذلك مناطق أمريكا الوسطى والجنوبية، وأفريقيا، وأوروبا، ومنطقة المحيطين الهندي والهادئ. ورغم أن الحملات كانت تقتصر عادةً على أميركا اللاتينية وإسبانيا والبرتغال، إلا أن X-Force رصدت حملات حديثة تنتحل صفة مصلحة الضرائب في المكسيك (SAT)، ولجنة الكهرباء الفيدرالية المكسيكية (CFE)، ووزير الإدارة والمالية المكسيكي، ودائرة الإيرادات في الأرجنتين، وخاصة دائرة الإيرادات في جنوب أفريقيا (SARS). قد تشير البرامج الضارة المُعاد تصميمها وعمليات الاستهداف الجديدة إلى تغيير في الإستراتيجية منذ آخر إجراء اتخذته جهات إنفاذ القانون ضد Grandoreiro، ما دفع المشغلين على الأرجح إلى توسيع عملية نشر Grandoreiro في حملات التصيد الاحتيالي العالمية، بدءًا من جنوب أفريقيا.
منذ مارس 2024، رصدت X-Force حملات تصيد احتيالي تنتحل صفة مصلحة الضرائب في المكسيك (SAT)، ولجنة الكهرباء الفيدرالية المكسيكية (CFE)، ووزير الإدارة والمالية المكسيكي، ودائرة الإيرادات في الأرجنتين. تستهدف رسائل البريد الإلكتروني المستخدمين داخل أمريكا اللاتينية، بما في ذلك نطاقات المستوى الأعلى (TLDs) من المكسيك وكولومبيا وتشيلي ".mx" و".co" و".cl". تم حذف أي هويات حقيقية من الصور حفاظًا على الخصوصية الشخصية.
يبدو أن الحملة الأولى كانت محاولة لأن تبدو رسمية وعاجلة وتبلغ الشخص المستهدف بأنه يتلقى إشعارًا نهائيًا بشأن دين مستحق لرسوم تسجيل دافعي الضرائب الفيدرالية (RFC) التي لم تُدفع. وفي حال عدم السداد، قد تشمل العواقب فرض عقوبات وغرامات وحظر رقم التعريف الضريبي للمستخدم، ما يؤثر في قدرة الشخص المستهدف على ممارسة الأعمال والحصول على الخدمات الحكومية بشكل قانوني. حملة أخرى تنتحل صفة لجنة الكهرباء الفيدرالية المكسيكية (CFE) وتذكر المتلقي بأنه اشترك في CFEMail، ومن ثَم يمكنه الاطلاع على كشف حسابه بصيغة PDF وXML من خلال النقر فوق أحد الروابط المرفقة. حملة ثالثة تنتحل صفة وزير الإدارة والمالية، تطلب من المتلقي النقر فوق ملف PDF لقراءة التفاصيل المتعلقة بإشعار الامتثال. وحملة تنتحل صفة دائرة الإيرادات في الأرجنتين تطلب من المستخدم تنزيل مستند ضريبي جديد واتخاذ الإجراءات المناسبة.
وفي كل حملة، يُطلب من المتلقيين النقر فوق رابط لعرض فاتورة أو رسوم، أو كشف حساب، أو إجراء عملية دفع، وما إلى ذلك، وذلك على حسب كل كيان تُتنحل هويته. إذا كان المستخدم الذي ينقر فوق الروابط موجودًا داخل دولة معينة (حسب الحملة، المكسيك أو تشيلي أو إسبانيا أو كوستاريكا أو بيرو أو الأرجنتين)، فسيُعاد توجيهه إلى صورة أيقونة PDF، ويُنزل ملف ZIP في الخلفية. تحتوي ملفات ZIP على ملف تنفيذي كبير متخفيًا بأيقونة PDF، ويتبين أنه مُنشأ في اليوم السابق لإرسال البريد الإلكتروني أو في يوم إرساله.
الشكل 1 و2: عينات لرسائل بريد إلكتروني تنتحل صفة SAT وCFE
الشكل 3 و4: وزير الإدارة والمالية، وAFIP
عادةً ما يُرى برنامج Grandoreiro الضار في حملات تستهدف المستخدمين داخل أمريكا اللاتينية؛ ومع ذلك، بعد الاعتقالات الأخيرة التي طالت مشغلي Grandoreiro، شهدت X-Force زيادة في الحملات التي تصل إلى مناطق خارج أمريكا اللاتينية، بما في ذلك نطاقات المستوى الأعلى من إسبانيا واليابان وهولندا وإيطاليا. رصدت شركة X-Force حملة تصيد احتيالي تنتحل صفة مصلحة الإيرادات في جنوب أفريقيا (SARS)، مدعيةً أنها من قسم خدمات مساعدة دافعي الضرائب. كما رصدت X-Force حملتين، والتي يُحتمل أن يكون المشغّل نفسه هو من نفّذهما، انتحلتا صفة مصلحة الضرائب في المكسيك. تُكتب رسائل البريد الإلكتروني إما باللغة الإنجليزية أو الإسبانية، وتتشابه في تنسيقها. تحتوي رسائل البريد الإلكتروني على رقم ضريبي وتبلغ المتلقي بأنه يتلقى فاتورة ضريبية إلكترونية تتوافق مع اللوائح التي وضعتها مصلحة الإيرادات في جنوب إفريقيا، أو وفقًا للوائح مصلحة الضرائب. يُقدم للمستخدم رابط PDF أو XML لعرض الفاتورة التي تبدأ تحميل أرشيف ZIP يحتوي على ملف محمل Grandoreiro التنفيذي "SARS 35183372 eFiling 32900947.exe" (تختلف الأرقام من عينة لأخرى).
الشكل 5 و6 و7: عينات لرسائل بريد إلكتروني تنتحل صفة SAT وSARS
على غرار الحملات السابقة، تبدأ سلسلة الإصابة من Grandoreiro بمحمل مخصص. في كثير من الأحيان، يكون الملف التنفيذي كبيرًا إلى حجم يزيد عن 100 ميغابايت لإعاقة الفحص التلقائي لمكافحة الفيروسات. وعلى أمل التحايل على التنفيذ التلقائي، تظهر نافذة CAPTCHA منبثقة صغيرة تحاكي برنامج Adobe PDF، والتي تتطلب نقرة واحدة لاستمرار التنفيذ.
الشكل 8: نافذة CAPTCHA المزيفة من Grandoreiro لمحاكاة برنامج Adobe PDF
للمحمل ثلاث مهام رئيسية:
كل هذه المهام تتطلب أكثر من 120 سلسلة نصية مهمة، وتكون مشفرة باستخدام خوارزمية محسّنة.
أولاً، يبدأ Grandoreiro بإنشاء سلسلة مفاتيح كبيرة، تكون مشفرة بشكل مضمن ومشفرة ثلاث مرات باستخدام Base64. يبدأ المفتاح الذي يظهر في هذه العينات بـ “D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…”. ثم يأخذ السلسلة المشفرة ويستخدم فك تشفير مخصص لتحويلها إلى سلسلة من الأحرف السداسية العشرية التي تُعامل كوحدات بايت.
الشكل 9: تشفير Grandoreiro السداسي العشري المخصص (لاحظ أن التشفير غير السداسي للحروف مثل "" لا يُستخدم أبدًا)
يفك Grandoreiro تشفير النتيجة عبر خوارزمية Grandoreiro القديمة باستخدام سلسلة المفاتيح. فيما يلي تنفيذ إجراءات فك التشفير باستخدام Python:
وأخيرًا، يخضع لجولة أخيرة من فك تشفير AES CBC بحجم 256 بت لاسترداد سلسلة النص غير المشفر. يُخزن كل من مفتاح AES والمتجه الابتدائي (IV) أيضًا كسلاسل مشفرة ويجب فك تشفيرهما باستخدام الخوارزمية المذكورة أعلاه نفسها، ولكن مع تخطي فك تشفير AES. يقدم الرسم البياني أدناه نظرة عامة على عملية فك التشفير الكاملة:
الشكل 10: فك تشفير سلسلة محمل Grandoreiro
للتأكد من أن الضحية ليست جزءًا من بيئة اختبار معزولة، يجمع محمل Grandoreiro المعلومات التالية ويتحقق منها مقابل قائمة من القيم المضمنة المشفرة (راجع الملحق):
تُستخدم خطوة التحقق هذه أيضًا لتجنب الضحايا من دول معينة. لم تستمر عينة واحدة في تنفيذ الإصابة لعناوين IP العامة من:
كما حالت العينة دون إصابة الأجهزة التي تعمل بنظام التشغيل Windows 7 الكائنة في الولايات المتحدة والتي لا تحتوي على برامج مكافحة الفيروسات.
تحاول الخطوة التالية في عملية التنفيذ إنشاء ملف تعريف أساسي للضحية لعرضه على لوحة C2. يعمل البرنامج الضار على تعداد المعلومات التالية من جهاز الضحية:
يربط Grandoreiro النتائج باستخدام السلسلة "*~+" ويرسلها كجزء من طلب الحمولة المشفرة إلى خادم C2.
يمكن فك تشفير خادم C2 الخاص بمحمل Grandoreiro باستخدام الخوارزمية الموضحة أعلاه نفسها. يُعالج اسم النطاق الناتج من خلال DNS عبر HTTPS عن طريق رابط https://dns.google/resolve?name=<C2 server> لتجاوز الحظر القائم على DNS. بعد استلام عنوان C2 IP، يأخذ البرنامج الضار أول 4 أرقام من عنوان IP ويُجري 4 تحويلات رقمية مختلفة، ما ينتج عنه رقم المنفذ المكون من 4 أرقام.
ثم يربط سلسلة تعريف الضحية الناتجة عن الخطوات المذكورة أعلاه مع رسالة برتغالية مكتوبة بأحرف كبيرة "CLIENT_SOLICITA_DDS_MDL" (تُترجم على الأرجح إلى "العميل يطلب بيانات الوحدة"). فيما يلي مثال على تلك السلسلة:
تُشفر السلسلة وتُرسل كمسار لعنوان URL عبر طلب HTTP GET إلى خادم C2 لطلب حمولة Grandoreiro النهائية.
وفي حال النجاح، يرد خادم C2 بكود حالة HTTP 200 يحتوي على رسالة مشفرة أخرى. تتضمن المعلومات التالية:
مثال:
وللتنزيل، يُصدر Grandoreiro طلب HTTP GET آخر إلى عنوان URL الخاص بالحمولة. يُخزن الملف الذي جرى تنزيله في المجلد المحدد اسمه ضمن مسار "C:\ProgramData\". ثم، يُفك تشفير الملف عن طريق خوارزمية تستند إلى RC4 باستخدام المفتاح "7684223510". وأخيرًا، يُفك ضغطه باستخدام مكتبة Delphi "ZipForge"، ويُحذف الملف الذي جرى تنزيله في الأصل.
قد يحتوي الأرشيف على ملفين، ملف .EXE (وهو حصان طروادة المصرفي Grandoreiro) وملف .CFG (وهو ملف التكوين).
قبل التنفيذ، يُجري المحمل تعدادًا لعضويات مجموعة الرمز المميز للعملية الحالية، وبالتحديد يتحقق من وجود SECURITY_NT_AUTHORITY SID. إذا كانت العملية تحظى بالامتيازات المطلوبة، فإن المحمل يستخدم دالة ShellExecuteW() مع الفعل 'Runas' لتنفيذ حمولة Grandoreiro بامتيازات مرتفعة. وعلى العكس، إذا لم تكن الامتيازات اللازمة متوفرة، يلجأ المحمل إلى تنفيذ نفسه عبر ShellExecuteW() من دون زيادة الامتيازات.
خلال جميع مراحل الإصابة—تنزيل الحمولة وفك التشفير والتنفيذ—يرسل مُحمل Grandoreiro رسائل الحالة إلى خادم C2 الخاص به. فيما يلي بعض الأمثلة:
الحمولة النهائية هي حصان طروادة المصرفي Grandoreiro. وقد خضع الإصدار الأخير لتحديثات كبيرة خاصة في خوارزميات فك تشفير السلسلة وحساب DGA. كما تضمن عددًا هائلاً من التطبيقات المصرفية العالمية المستهدفة، بهدف دعم التنفيذ وتمكين المهاجمين من تنفيذ الاحتيال المصرفي في عشرات الدول. إلى جانب وحدة متخصصة في نشر Outlook ومجموعة واسعة من المزايا، فهو يُعد أحد أكبر فيروسات طروادة المصرفية الشهيرة، ولا يزال التحليل مستمرًا. تُقدِّم الأقسام التالية نظرة تفصيلية على أبرز خصائص Grandoreiro، مع تسليط الضوء على خصائصه ووظائفه الأساسية.
يبدأ Grandoreiro بإرساء الاستمرارية عبر سجل Windows. يشغل الأمر التالي لإنشاء "مفتاح تشغيل" جديد في السجل وتشغيل البرنامج الضار عند تسجيل دخول المستخدم:
لاحظ أن اسم المفتاح قد يختلف بين العينات، ولكنه غالبًا ما يرتبط باسم الملف الأصلي للحمولة الذي جرى تنزيله. في حال عدم تشغيل Grandoreiro في عملية ذات امتيازات مرتفعة، سيُحذف الفعل "/runas".
وبالإضافة إلى ملف .CFG، يُنشئ Grandoreiro أيضًا ملف .XML في المجلد C:\Public\ . ويُشفر عبر إجراءات تشفير السلاسل الخاصة بالمحمل، ويخزن اسم ملف Grandoreiro التنفيذي ومساره وتاريخ الإصابة به.
إذا لم يتمكن Grandoreiro من العثور على ملف .CFG الخاص به، فسيُنشئ ملف .CFG جديد بملء قيم افتراضية تحدد وظائف Grandoreiro الممكنة وبلد الضحية وتاريخ الإصابة. يُشفر الملف .CFG باستخدام خوارزمية تشفير سلاسل Grandoreiro التي سنشرحها لاحقًا.
وسع مشغلو Grandoreiro قائمة التطبيقات المصرفية المستهدفة بشكل كبير، حيث يستهدفون الآن أكثر من 1500 بنك حول العالم. تبدأ الإصدارات الأخيرة أولاً بتحديد ما إذا كانت الضحية مدرجة في قائمة الدول المستهدفة. كما أن كل دولة تُصنف إلى منطقة أكبر، والتي يستخدمها Grandoreiro لتحديد عمليات البحث عن السلاسل التي يجب أن تُنفذ على النوافذ النشطة حاليًا. وهذا يعني أنه، إذا حُددت دولة الضحية على سبيل المثال على أنها بلجيكا، فسيبحث عن جميع التطبيقات المصرفية المستهدفة المرتبطة بمنطقة أوروبا. يصنف Grandoreiro داخليًا الدول إلى فئات إقليمية أوروبا، وأمريكا الشمالية، وأمريكا الوسطى، وأمريكا الجنوبية، وأفريقيا، ومنطقة المحيطين الهندي والهادئ، والجزر العالمية، مع وجود فئة Delphi مرتبطة بكل منطقة للبحث عن التطبيقات المصرفية. بالإضافة إلى ذلك، يحتوي Grandoreiro على فئة تبحث عن 266 سلسلة فريدة تحدد محافظ العملات الرقمية، والتي تُشغل عند كل إصابة.
الشكل 11: Grandoreiro يطلق سلسلة جديدة بناءً على منطقة الدولة المكتشفة
تبرز الخريطة الحرارية أدناه عدد التطبيقات المصرفية الفريدة المرتبطة بكل دولة. لاحظ أنه من الممكن اكتشاف كل تطبيق باستخدام سلاسل متعددة:
الشكل 12: التطبيقات المصرفية التي يستهدفها Grandoreiro في كل دولة (مُنشأ باستخدام Datawrapper ومُعبأ بمعلومات من أبحاث فريق X-Force)
يعتمد Grandoreiro عادةً على خوارزميات إنشاء النطاقات (DGA) لحساب خادم C2 النشط الخاص بها بناءً على تاريخ اليوم. يحتوي أحدث إصدار من Grandoreiro على خوارزمية مُعاد تصميمها ويرتقي بها من خلال إضافة قيم أولية متعددة لخوارزمية DGA الخاصة به. تُستخدم هذه القيم الأولية لحساب نطاق مختلف لكل نمط أو وظيفة لحصان طروادة المصرفي، ما يسمح بتوزيع مهام C2 بين عدة مشغلين كجزء من عملية البرامج الضارة كخدمة. قد تحتوي كل عينة من عينات Grandoreiro على قيمة أولية رئيسية تعمل بشكل افتراضي في حال فقدان ملف التكوين، بالإضافة إلى قائمة بالقيم الأولية الخاصة بالوظائف. تحتوي العينة التي حللتها X-Force على 14 قيمة أولية مختلقة، ما يؤدي إلى 14 نطاق C2 محتمل كل يوم. ولتوضيح الخوارزمية، سنحسب النطاقات الخاصة بيوم 17 أبريل 2024. يوفر المخطط التالي تصورًا مرئيًا للخوارزمية مع شرح أدناه:
الشكل 13: تصور مرئي لخوارزمية DGA
بدءًا من قمة النطاق، يخصص Grandoreiro نطاقًا واحدًا لكل يوم من أيام السنة. يوجد اثنان من هذه التخصيصات، أحدهما لخادم C2 الرئيسي والآخر لجميع خوادم C2 الخاصة بالوظائف. لكن، من بين نطاقات القمة البالغ عددها 732 نطاقًا، يوجد 337 نطاقًا فريدًا فقط. بالنسبة إلى اليوم المحدد، القمة الأساسية هي dnsfor[.]me والثانوية هي neat-url[.]com.
بالنسبة إلى الجزء التالي، يربط Grandoreiro القيمة الأولية "xretsmzrb" (القيمة الأولية الرئيسية) بالشهر الجاري بتنسيق مكون من رقمين، مع استبدال كل رقم بثلاثة أحرف مشفرة ضمنيًا. يُحول الرقمين "0" و"4" إلى "oit" و"zia" تباعًا، ما ينتج عنه السلسلة الكاملة "xretsmzrboitzia".
وأخيرًا، لكل يوم من أيام الشهر، يحتوي Grandoreiro على جدول مخصص لاستبدال الأحرف. بالنسبة إلى اليوم السابع عشر، بعد استبدال جميع الأحرف البالغ عددها 26 حرفًا بشكل متكرر، تكون سلسلة النطاق الفرعي النهائية هي "wondbbhonandhnd".
بعد حساب النطاقات المتبقية لجميع القيمة الأولية المشفرة ضمنيًا، تصبح قائمة نطاقات C2 ليوم 17 أبريل 2024 كما يلي:
تمكنت X-Force من التأكد من أن ما لا يقل عن 4 من النطاقات المُعالجة في ذلك اليوم خاصة بعناوين IP مقرها البرازيل:
يُحسب منفذ خادم C2 من أول أربعة أرقام من عنوان IP عبر تعيين رقمي مخصص تمامًا مثل محمل Grandoreiro. راجع الملحق للحصول على قائمة كاملة بجميع نطاقات Grandoreiro المحسوبة مسبقًا. لاحظ أن Grandoreiro يغير القيم الأولية بشكل متكرر. بعد أسابيع قليلة من الإصابة الأولية، لاحظت X-Force أن خادم C2 الخاص بالقيمة الأولية الرئيسية فقط هو الذي ظل نشطًا.
أظهر بحث حول بيانات X-Force DNS للقياس عن بُعد الخاصة ببداية شهر مايو أن الإصابات الحالية تحدث بشكل رئيسي في أمريكا اللاتينية:
الشكل 14: المواقع الجغرافية للإصابات في أوائل شهر مايو
بعد محاولة معالجة النطاق المحسوب باستخدام خوارزمية DGA، يرسل Grandoreiro واحدة من عدة رسائل تسجيل مترابطة مع بيانات التعداد ومشفرة، تمامًا مثل محمل Grandoreiro. قد تُرسل الرسائل التالية بناءً على الامتيازات وبرامج مكافحة الفيروسات المثبتة ونطاقات C2 النشطة:
يدعم Grandoreiro عددًا كبيرًا من الأوامر المختلفة، بما في ذلك ما يلي:
كما يدعم البرنامج الضار بشكل خاص فتح عناوين URL المشفرة ضمنيًا والخاصة ببنك Banco Banorte:
كما أنه يسمح بتنفيذ أوامر JavaScript في المتصفح لمحاكاة نقرات أزرار HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
نظرًا إلى العدد الكبير من الأوامر المختلفة وتسمياتها، يبدو أن قاعدة أكواد Grandoreiro تحتوي على أوامر مضافة حديثًا بالإضافة إلى مزايا قديمة لم تعد مستخدمة بنشاط. من المرجح أن يمر حصان طروادة المصرفي بدورات تطوير متكررة لإضافة مزايا جديدة من دون بذل جهد كبير في إعادة الهيكلة، ما يسهم في زيادة الحجم الإجمالي لقاعدة الأكواد.
واحدة من أكثر مزايا Grandoreiro إثارة للاهتمام هي إمكانية انتشاره من خلال جمع البيانات من Outlook واستخدام حساب الضحية لإرسال رسائل بريد إلكتروني مزعجة. وتوجد على الأقل 3 آليات مطبقة في Grandoreiro لجمع عناوين البريد الإلكتروني واستخراجها، حيث تستخدم كل منها قيمة DGA أولية مختلفة. باستغلال برنامج Outlook المحلي لإرسال الرسائل المزعجة، يمكن أن ينتشر Grandoreiro من خلال صناديق البريد الوارد للضحايا المصابين عبر البريد الإلكتروني، ما يسهم على الأرجح في الكمية الكبيرة من الرسائل المزعجة المرصودة من Grandoreiro.
بالنسبة إلى وضع الجمع في Outlook، ينتقل Grandoreiro من C2 إلى قيمة DGA الأولية رقم 7، والتي تُستخدم لاستخراج البيانات. يستمر إرسال رسائل التسجيل والحالة إلى خادم C2 الرئيسي. على سبيل المثال، قبل البدء في عملية الجمع، يرسل سجلاً يحتوي على بيانات تعريف الضحية نفسها بالإضافة إلى سلاسل "CLIENT_SOLICITA_DD_EMSOUT" (العميل يطلب بيانات EMSOUT) و"ColHendo" (جمع).
وللتفاعل مع برنامج Outlook المحلي، يستخدم Grandoreiro أداة Outlook Security Manager، وهي برنامج يُستخدم لتطوير وظائف Outlook الإضافية. والسبب الرئيسي وراء ذلك هو أن Outlook Object Model Guard يرسل تنبيهات أمنية إذا رصد محاولة وصول إلى كائنات محمية. ويتيح Outlook Security Manager الفرصة أمام Grandoreiro لتعطيل هذه التنبيهات في أثناء عملية جمع البيانات وإرسال الرسائل المزعجة. وعلى حسب بنية النظام، تتطلب الأداة تسجيل ملف DLL "secman.dll" أو "secman64.dll" كخوادم COM. ثم يستخدم MAPI للتفاعل مع Outlook.
يبدأ البرنامج الضار بتحديد مجلد صندوق البريد الأساسي ثم يُعيد البحث في عناصر البريد الإلكتروني بشكل متكرر. لكل بريد إلكتروني، يتحقق من خاصية "SenderEmailAddress" ويشغل قائمة حظر لمقارنته بها، بهدف تصفية عناوين البريد الإلكتروني غير المرغوب فيها قبل الجمع:
تُجمع عناوين البريد الإلكتروني التي لا تحتوي على أي من السلاسل النصية المذكورة أعلاه في ملف نصي، وتُضغط بتنسيق ZIP وتُستخرج.
وبالإضافة إلى عملية الجمع المذكورة أعلاه، يدعم Grandoreiro أيضًا إضافة ملف PST إلى Outlook أولاً عبر الدالة Namespace.AddStore(). تمر آلية جمع أخرى مدعومة بشكل متكرر عبر نظام ملفات الضحية وتفحص الملفات بحثًا عن عناوين بريد إلكتروني. الملفات ذات الامتدادات التالية تُفتح وتُفحص:
“*.txt”، “*.csv”، “*.html”، “*.xml”، “*.dat”، “*.db”، “*.sqlite”، “*.xlsx”، “*.xls”، “*.xlsm”، “*.dbf”، “*.doc”، “*.docx”، “*.docm”
ولمنع الفحص غير الضروري، يحتفظ Grandoreiro بقائمة حظر أخرى تضم المسارات التي يجب عدم فحصها، باستثناء مجلدات النظام الشهيرة.
لإرسال رسائل بريد إلكتروني مزعجة، يستخدم Grandoreiro قوالب التصيّد الاحتيالي التي يتلقاها من خادم C2 الخاص به. ثم يمر عبر القالب ويملأ حقول العناصر النائبة مثل ما يلي:
قبل البدء في إرسال رسائل البريد الإلكتروني، يبدأ Grandoreiro سلسلة ليكشف عن أي نوافذ حوار تظهر وينقر لإغلاقها بإرسال ضغطات محددة على مفتاح TAB ومفتاح المسافة. بعد إرسال رسائل البريد الإلكتروني، يخفي البرنامج الضار آثاره بعناية عن طريق حذف الرسائل المرسلة من صندوق البريد الخاص بالضحية. بالإضافة إلى ذلك، بالنسبة إلى الكثير من سلوكيات الجمع وإرسال الرسائل المزعجة، يتأكد Grandoreiro من أن آخر إدخال على الجهاز المصاب كان منذ 5 دقائق على الأقل (أو في بعض الحالات منذ فترة أطول). من المرجح أن المطورين أرادوا ضمان أن الضحايا لن يلاحظوا أي سلوك مشبوه.
في أثناء إرسال الرسائل المزعجة، يرسل Grandoreiro رسائل الحالات التالية:
نظرًا إلى أن Grandoreiro برنامج ضار كبير جدًا، فهو يتطلب عددًا هائلاً من السلاسل النصية، ما يجعل اكتشافها سهلاً جدًا إذا تركت غير مشفرة. يحتوي Grandoreiro على أكثر من 10 آلاف سلسلة موزعة على أكثر من مائة دالة تحميل سلاسل خاصة بالمزايا. تختلف آلية فك التشفير بعض الشيء عن فك تشفير سلاسل المحمل:
تستخدم هذه الآلية مفتاح Grandoreiro المستخدم في المحمل نفسه، والذي يُفك التشفير عبر التشفير المخصص والمفتاح "A". بمجرد الحصول على المفتاح، تفك تشفير السلسلة المشفرة بشكل مخصص باستخدام تشفير المحمل نفسه ثم تفك تشفير وحدات البايت الناتجة عبر وضع AES ECB باستخدام تنفيذ ElAES Pascal. مفتاح AES هو نسخة مشفرة من مفتاح Grandoreiro الذي جرى فك تشفيره مسبقًا. وبعد جولة أخرى من فك التشفير المخصص، يُفك تشفير السلسلة أخيرًا باستخدام خوارزمية Grandoreiro القديمة ومفتاح Grandoreiro.
الشكل 15: فك تشفير سلاسل حصان طروادة المصرفي Grandoreiro
رصدت X-Force عدة حملات تصيد احتيالي حديثة تنتحل صفة الهيئات الحكومية بهدف نشر حصان طروادة المصرفي Grandoreiro. عادةً ما يستهدف موزعو Grandoreiro المستخدمين في أمريكا اللاتينية؛ لكن، منذ آخر إجراء اتخذته جهات إنفاذ القانون ضد مشغلي Grandoreiro، لاحظت X-Force انتشار البرنامج الضار خارج أمريكا اللاتينية ليشمل مناطق في أمريكا الوسطى والجنوبية، وأفريقيا، وأوروبا، والمحيط الهادئ. شهدت عينات حصان طروادة المصرفي Grandoreiro التي حللتها X-Force تحديثات كبيرة في خوارزميات فك تشفير السلاسل النصية وحساب DGA. هذه العينات التي جرى تحليلها مؤخرًا تشمل حاليًا عددًا هائلاً لا يقل عن 1500 تطبيق مصرفي عالمي مستهدف، ما يدعم التنفيذ ويُمكّن المهاجمين من تنفيذ أنشطة الاحتيال المصرفية في أكثر من 60 دولة. تشير التحديثات التي أُجريت على البرنامج الضار، بالإضافة إلى الزيادة الكبيرة في عدد التطبيقات المصرفية عبر عدة دول، إلى أن موزعي Grandoreiro يسعون لتنفيذ حملات ونشر برامج ضارة على مستوى العالم.
نحث المؤسسات التي قد تتأثر بهذه الحملات على استعراض التوصيات التالية:
المؤشر
نوع المؤشر
السياق
root@yhsp<two digit number>.rufnag.com
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
hxxps[:]//pjohconstruccionescpaz[.]com/?8205-23069071&tokenValue=
92b768ccface4e96cee662517800b208f88ff796
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
97f3c0beef87b993be321b5af3bf748cc8e003e
6e90cf5febf69dfd81e85f581
SHA256
أرشيف ZIP
afd53240a591daf50f556ca952278cf098dbc5
b6c2b16c3e46ab5a0b167afb40
SHA256
أرشيف ZIP
f8f2c7020b2d38c806b5911acb373578cbd69
612cbe7f21f172550f4b5d02fdb
SHA256
عنصر محمل Grandoreiro
10b498562aef754156e2b540754bf1ccf9a9cb
62c732bf9b661746dd08c67bd1
SHA256
عنصر محمل Grandoreiro
aviso.<four digit number>@cfe.mx
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
hxxps[:]//hilcfacdigitaelpichipt[.]norwayeast[.]cloudapp
.azure[.]com/?docs/pdf/15540f02-d006-4e3b-b2de-6873baff3b2a
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
55426bb348977496189cc6a61b711a3aadde
155772a650ef17fba1f653431965
SHA256
أرشيف ZIP
arq_@other.com.<four digit number>
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
root@<6 alpha-numeric value>.rufnag.com
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
bfcd71a4095c2e81e2681aaf0239436368bc2
ebddae7fdc8bb486ffc1040602c
SHA256
أرشيف ZIP
3f920619470488b8c1fda4bb82803f72205
b18b1ea31402b461a0b8fe737d6bd
SHA256
عنصر محمل Grandoreiro
84572c0de71bce332eb9fa03fd34243326
3ad0c4f95dd3acd86d1207fa7d23f0
SHA256
Grandoreiro
hxxps[:]//pjohconstruccionescpaz[.]com?docs/xml
/WCA161006TN9/15540f02-d006-4e3b-b2de-6873baff3b2a
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
29f19d9cd8fe38081a2fde66fb2e1eff33c
4d4b5714ef5cada5cc76ec09bf2fa
SHA256
أرشيف ZIP
hxxps[:]//onwfacttasunslahf[.]norwayeast[.]cloudapp
[.]azure[.]com?_task=mail&_action=get&_mbox=
INBOX&_uid=19101&_token=
rbrJMXNUOQvrlaWOOxGAyj7vcufaFN3r&_part
=1.2.3&_embed=1&_mimeclass=image
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
2ab8c3a1a7fe14a49084fbf42bbdd04d63
79e6ae2c74d801616e2b9cf8c8519c
SHA256
عنصر محمل Grandoreiro
hxxps[:]//servicerevenueza[.]southeastasi
a[.]cloudapp.azure[.]com/?PDF-XML-71348793
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
root[@]zpmbnoxf[.]crazydocuments[.]com
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
d005abe0a29b53c5995a10ce540cc2ff
be96e7f80bf43206d4db7921b6d6aa10
SHA256
عنصر محمل Grandoreiro
70f22917ec1fa3a764e21f16d68af80b69
7fb9d0eb4f9cd6537393b622906908
SHA256
عنصر محمل Grandoreiro
fb3d843d35c66f76b1b1b88260ad2009
6e118ef44fd94137dbe394f53c1b8a46
SHA256
عنصر محمل Grandoreiro
6772d2425b5a169aca824de3ff2aac400
fa64c3edd93faaabd17d9c721d996c1
SHA256
عنصر محمل Grandoreiro
gruposat@gob.mx
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
marcasat@gob.mx
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
assistance@gov.za
عنوان البريد الإلكتروني
مرسل البريد الإلكتروني
hxxps[:]//officebusinessaccount[.]eastus[.]cloudapp
[.]azure[.]com/?PDF-XML-<eight digit number>
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
hxxps[:]//servicerevenueza[.]southeastasia[.]
cloudapp[.]azure[.]com/?PDF-XML-<eight digit number>
عنوان URL
رابط تنزيل أرشيف البرنامج الضار
18.231.181[.]227
IPv4
خادم Grandoreiro C2
18.231.158[.]159
IPv4
خادم Grandoreiro C2
15.229.211[.]175
IPv4
خادم Grandoreiro C2
15.228.245[.]103