Trojan Grandoreiro w e-mailach. Kradnie dane logowania do banku

Trojan bankowy Grandoreiro obserwowany jest od marca 2024 roku, po tym jak w styczniu przestał być powszechnie stosowany po pozornym usunięciu z sieci. Dzisiaj pomaga atakującym wykradać dane logowania do przeszło 1,5 tys. banków na świecie - głównie w Centralnej i Południowej Ameryce, ale także innych częściach świata, w tym Europie - podaje The Hacker News. Mapa odnotowanych ataków jednoznacznie wskazuje również na obecność Grandoreiro w Polsce.

Wszystko zaczyna się od typowego phishingu - z informacją o rzekomej fakturze lub innym istotnym załączniku dostępnym po kliknięciu załączonego linku. W praktyce ofiara jest wówczas przenoszona do fałszywej strony, gdzie pod pretekstem wyświetlenia lub pobrania pliku PDF, w praktyce zaoferowany zostanie jej załącznik ZIP. Archiwum z Grandoreiro w zestawie ma przeszło 100 MB, ale taki rozmiar wynika tylko z chęci sztucznego ukrycia szkodliwego kodu przed oprogramowaniem zabezpieczającym.

W ten sposób Grandoreiro trafia do komputera ofiary. Po instalacji atakujący zyskują możliwość zdalnego kontrolowania systemu, w tym odczytywania danych z Outlooka, by wykorzystać skrzynkę e-mail ofiary do atakowania kolejnych osób. Przejęcie komputera pozwala również pozyskać dane logowania do bankowości internetowej szeregu banków na całym świecie. To oczywiście otwarcie drogi do kradzieży pieniędzy z konta.

Jak zwykle w takich przypadkach przypominamy, by nie bagatelizować zagadnienia cyberbezpieczeństwa podczas codziennego korzystania z komputera i internetu. Wszystkie e-maile wyglądające na podejrzane należy uważnie analizować i nie pobierać machinalnie załączników, ani nie klikać linków. W opisywanym przypadku sam fakt pobrania archiwum ZIP zajmującego ponad 100 MB powinien być wystarczającym sygnałem, że paczka zawiera w sobie więcej niż tylko "fakturę w formacie PDF".