Trojan brasileiro Grandoreiro retorna mesmo após ação policial

A equipe X-Force da IBM cita também o novo mecanismo que visa usuários do Outlook, da Microsoft, desativando alertas de segurança e utilizando-os para enviar phishing a novos alvos; o novo mecanismo de persistência baseado na criação de chaves Run do registro (‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run’ e ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’)

Além disso, os analistas listam a ampliação do direcionamento de aplicações bancárias e inclusão de carteiras de criptomoedas e a expansão do conjunto de comandos, agora incluindo controle remoto, upload/download de arquivos, keylogging e manipulação do navegador por meio de comandos JavaScript.

Outro novo recurso é a capacidade do Grandoreiro de realizar perfis detalhados da vítima e decidir se será ou não executado no dispositivo, o que dá aos operadores melhor controle do escopo de sua segmentação.

Os analistas da IBM relatam que a versão mais recente do trojan evita a execução em países específicos como Rússia, República Tcheca, Holanda e Polônia, bem como em máquinas com Windows 7 nos Estados Unidos, onde nenhum antivírus está ativo.

Enfim, apesar das recentes operações policiais, o Grandoreiro está vivo e, ao que tudo indica, parece mais forte do que nunca.

Para ter acesso às análises dos novos recursos do Grandoreiro, feitas pelos especialistas Golo Mühr e Melissa Frydrych, da equipe do IBM X-Force, clique aqui.

Créditos: CISO Advisor