Kaspersky เผยข้อมูลเชิงลึกของมัลแวร์ Grandoreiro เวอร์ชันไลท์ตัวใหม่

แม้ว่าผู้ก่อภัยคุกคามแคมเปญ Grandoreiro จะถูกจับกุมแล้วเมื่อต้นปี 2024 แต่ก็ยังพบคู่ค้าที่ใช้ Grandoreiro ในแคมเปญใหม่ ทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (Global Research and Analysis team – GReAT) ได้ค้นพบเวอร์ชันไลท์ (light version) ใหม่ที่เน้นโจมตีประเทศเม็กซิโก โดยมีเป้าหมายอยู่ที่ธนาคารประมาณ 30 แห่ง

ในงาน Security Analyst Summit (SAS) 2024 แคสเปอร์สกี้ได้เน้นย้ำว่า Grandoreiro เป็นหนึ่งในภัยคุกคามที่มีการใช้งานมากที่สุดทั่วโลก และกำหนดเป้าหมายโจมตีผู้ใช้บริการธนาคารมากกว่า 1,700 แห่ง โดยการโจมตีด้วยแบ้งกิ้งโทรจันทั้งหมดในปีนี้เป็นฝีมือของมัลแวร์ Grandoreiro มากถึงประมาณ 5%

ส่วนประเทศเม็กซิโกซึ่งเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายการโจมตีมากที่สุดด้วยมัลแวร์ Grandoreiro สายพันธุ์ต่างๆ รวมถึงสายพันธุ์ไลท์ใหม่ ได้ถูกโจมตีมากถึง 51,000 ครั้งในปีนี้

แคสเปอร์สกี้ช่วยเหลือและดำเนินการประสานงานกับตำรวจสากล (INTERPOL) ทำให้ทางการบราซิลจับกุมผู้อยู่เบื้องหลังปฏิบัติการแบ้งกิ้งโทรจัน Grandoreiro ได้ แคสเปอร์สกี้ค้นพบว่าโค้ดเบสของผู้ก่อภัยคุกคามถูกแยกออกเป็น์โทรจันเวอร์ชันไลท์ที่กระจายตัวเพื่อดำเนินการโจมตีต่อไป การวิเคราะห์ล่าสุดระบุว่าเวอร์ชันไลท์นี้มุ่งเน้นไปที่เม็กซิโกเป็นหลัก โดยใช้เพื่อโจมตีสถาบันการเงินประมาณ 30 แห่ง ผู้ก่อภัยคุกคามน่าจะสามารถเข้าถึงโค้ดต้นฉบับได้และกำลังเปิดตัวแคมเปญใหม่การโจมตีใหม่โดยใช้มัลแวร์เก่าที่ลดความซับซ้อนลง

นายฟาบิโอ แอสโซลินิ หัวหน้าทีมวิจัยและวิเคราะห์ระดับโลก ภูมิภาคละตินอเมริกาของแคสเปอร์สกี้ (GReAT) กล่าวว่า “การพัฒนาล่าสุดทั้งหมดเน้นย้ำถึงลักษณะที่เปลี่ยนแปลงไปของภัยคุกคาม เวอร์ชันไลท์ที่กระจายตัวนี้มีแนวโน้มว่าอาจขยายออกไปนอกเม็กซิโกและภูมิภาคอื่นๆ รวมถึงนอกละตินอเมริกา อย่างไรก็ตาม เราเชื่อว่ามีเพียงคู่ค้าที่วางใจได้บางส่วนเท่านั้นที่สามารถเข้าถึงโค้ดต้นฉบับของมัลแวร์นี้ เพื่อพัฒนาเวอร์ชันไลท์ดังกล่าวได้ Grandoreiro ทำงานแตกต่างจาก ‘มัลแวร์ในรูปแบบบริการ’ (Malware-as-a-Service) แบบดั้งเดิมที่เราคุ้นเคย ไม่มีการประกาศขายแพ็คเกจ Grandoreiro ในฟอรัมใต้ดิน และถูกจำกัดการเข้าถึง”

มัลแวร์ Grandoreiro หลายสายพันธุ์ รวมถึงเวอร์ชันไลท์ใหม่และมัลแวร์หลัก ที่แคสเปอร์สกี้ตรวจพบในปี 2024 คิดเป็นสัดส่วนประมาณ 5% ของการโจมตีด้วยแบ้งกิ้งโทรจันทั้งหมดทั่วโลก ทำให้เป็นหนึ่งในภัยคุกคามที่ระบาดมากที่สุด แคสเปอร์สกี้ยังได้วิเคราะห์ตัวอย่างใหม่ของ Grandoreiro หลักของปี 2024 และสังเกตกลวิธีใหม่ๆ โดยบันทึกกิจกรรมของเมาส์เพื่อเลียนแบบรูปแบบผู้ใช้จริง เพื่อหลบเลี่ยงการตรวจจับโดยระบบความปลอดภัยที่ใช้แมชชีนเลิร์นนิ่งวิเคราะห์พฤติกรรม โดยมัลแวร์นี้มีเป้าหมายเพื่อหลอกล่อเครื่องมือป้องกันการฉ้อโกงให้มองว่ากิจกรรมดังกล่าวเป็นการกระทำที่ถูกต้อง โดยอาศัยการเคลื่อนไหวของเมาส์ตามธรรมชาติแบบซ้ำๆ

นอกจากนี้ Grandoreiro ยังใช้เทคนิคการเข้ารหัสที่เรียกว่า Ciphertext Stealing (CTS) ซึ่งแคสเปอร์สกี้ไม่เคยเห็นการใช้กับมัลแวร์มาก่อน ในกรณีนี้จุดมุ่งหมายคือการเข้ารหัสสตริงของโค้ดที่เป็นอันตราย

นายฟาบิโอ แอสโซลินิ กล่าวเสริมว่า “Grandoreiro มีโครงสร้างขนาดใหญ่และซับซ้อน ถ้าสตริงไม่ได้เข้ารหัสจะทำให้เครื่องมือความปลอดภัยหรือผู้วิเคราะห์ตรวจจับได้ง่ายขึ้น นี่อาจเป็นสาเหตุที่ผู้ก่อภัยคุกคามใช้เทคนิคใหม่นี้ เพื่อทำให้การตรวจจับและวิเคราะห์การโจมตีมีความซับซ้อนมากขึ้น”

ข้อมูลของแคสเปอร์สกี้ระบุว่า Grandoreiro เริ่มดำเนินการตั้งแต่ปี 2016 จากนั้นในปี 2024 ภัยคุกคามนี้มุ่งเป้าไปที่สถาบันการเงินมากกว่า 1,700 แห่งและคริปโตวอลเล็ต 276 ใบ ใน 45 ประเทศ ล่าสุดได้เพิ่มเป้าหมายที่เอเชียและแอฟริกาด้วย ทำให้ Grandoreiro กลายเป็นภัยคุกคามทางการเงินระดับโลกอย่างแท้จริง

Read more on Securelist. The comprehensive Grandoreiro analysis and overview is to be presented by GReAT at Kaspersky’s sixteenth Security Analyst Summit (SAS), which takes place from October 22-25, 2024, in Bali.

สามารถอ่านการวิเคราะห์และภาพรวม Grandoreiro ที่ครอบคลุมได้ที่

Grandoreiro, the global trojan with grandiose goals