曾遭國際刑警“聯(lián)合圍剿”金融木馬 Grandoreiro 死灰復(fù)燃，瞄準(zhǔn) 1500 多家銀行發(fā)動(dòng)攻擊

IT之家 5 月 22 日消息，國際刑警組織于今年 1 月在巴西、西班牙進(jìn)行了一次跨國執(zhí)法行動(dòng)，成功中斷了金融木馬 Grandoreiro 的運(yùn)營。不過研究人員最近發(fā)現(xiàn)相關(guān)木馬又死灰復(fù)燃，出現(xiàn)“再次活躍的跡象”。

根據(jù) IBM 旗下安全團(tuán)隊(duì) X-Force 報(bào)告，自 3 月以來，Grandoreiro 木馬再次出現(xiàn)“大規(guī)模傳播”跡象，安全部門推測黑客組織可能通過租賃服務(wù)的方式，將這款木馬以訂閱制模式提供給其他黑客使用。

研究人員指出，本次 Grandoreiro 木馬影響范圍廣泛，涉及中南美洲、非洲、歐洲等地超過 60 個(gè)國家，影響了全球超過 1500 家銀行的客戶。

IT之家從報(bào)告中獲悉，相關(guān)黑客冒充墨西哥稅務(wù)管理局（SAT）、墨西哥聯(lián)邦電力委員會(huì)（CFE）、墨西哥行政和財(cái)政部長、阿根廷稅務(wù)局和南非稅務(wù)局（SARS）等有關(guān)部門的名義，以收件人使用的母語發(fā)送釣魚郵件，并以查看發(fā)票、財(cái)務(wù)報(bào)表或稅務(wù)資料為名，誘導(dǎo)不知情的收件人點(diǎn)擊郵件中的鏈接。一旦收信人按照指示操作，就會(huì)被引導(dǎo)下載惡意木馬。

安全公司聲稱，最近出現(xiàn)的 Grandoreiro 版本與過去的版本有多處改進(jìn)，黑客引入了 AES CBC 并結(jié)合自有算法進(jìn)行數(shù)據(jù)加密，同時(shí)引入了域名生成算法（DGA）獲取 C&C 服務(wù)器的 IP 地址，同時(shí)還內(nèi)置一系列載入器防止安全公司在沙盒環(huán)境中檢測木馬行為。

此外，目前這款惡意木馬攻擊范圍已經(jīng)從“收集用戶設(shè)備上的網(wǎng)銀密鑰”擴(kuò)展到“收集用戶數(shù)字貨幣錢包信息”，該木馬還新增了一項(xiàng)自動(dòng)傳播機(jī)制，會(huì)利用受害者設(shè)備上的 Outlook 客戶端，使用受害者的郵件地址隨機(jī)向其他人發(fā)送釣魚郵件。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。