详细内容或原文请订阅后点击阅览
ESET 参与破坏 Grandoreiro 银行木马的全球行动
ESET 提供了技术分析、统计信息、已知的 C&C 服务器,并能够一窥受害者的状况
来源:WeLiveSecurity _恶意软件ESET 与巴西联邦警察合作,试图破坏 Grandoreiro 僵尸网络。ESET 通过提供技术分析、统计信息以及已知的命令和控制 (C&C) 服务器域名和 IP 地址为该项目做出了贡献。由于 Grandoreiro 的网络协议存在设计缺陷,ESET 研究人员还能够一窥受害者群体。
ESET 自动化系统已处理了数以万计的 Grandoreiro 样本。自 2020 年 10 月左右以来,该恶意软件使用的域生成算法 (DGA) 每天生成一个主域,并可选生成多个故障安全域。DGA 是 Grandoreiro 知道如何向 C&C 服务器报告的唯一方式。除了当前日期之外,DGA 还接受静态配置——截至本文撰写时,我们已经观察到 105 种这样的配置。
Grandoreiro 的运营商滥用 Azure 和 AWS 等云提供商来托管其网络基础设施。 ESET 研究人员提供了关键数据,这些数据对于识别负责设置这些服务器的账户至关重要。巴西联邦警察进一步调查,识别并逮捕了控制这些服务器的个人。在这篇博文中,我们将介绍如何获取数据以协助执法部门执行此破坏行动。
识别和逮捕背景
Grandoreiro 是众多拉丁美洲银行木马之一。它至少从 2017 年开始活跃,ESET 研究人员从那时起就一直在密切跟踪它。Grandoreiro 的目标是巴西和墨西哥,自 2019 年以来也针对西班牙(见图 1)。虽然西班牙是 2020 年至 2022 年期间最受攻击的国家,但在 2023 年,我们观察到焦点明显转向墨西哥和阿根廷,后者是 Grandoreiro 的新目标。
Grandoreiro 拉丁美洲银行木马