ISOPH vs Grandoreiro: ¿Primer asalto?

ISOPH vs Grandoreiro: ¿Primer asalto?

El troyano bancario Grandoreiro es ya un viejo conocido para los bancos en Latinoamérica y España. Existen muchos análisis recientes de gran calidad, y todos aportan una visión distinta de lo que hace, de quién puede estar detrás, y de cómo de bien funcionan los sistemas de protección frente a este código dañino que ataca nuestros bancos desde 2017.

Un “kill switch” de grandoreiro es el nombre del sistema (cortesía de seguranca-informatica.pt)
Ya sabemos que el ransomware, la extorsión y el robo de datos son llevados a cabo por grupos criminales y no debería sorprendernos su falta de escrúpulos, pero en momentos tan duros como este saber que Grandoreiro aprovecha el miedo y los bulos asociados a COVID19 para su difusión nos motiva un poco más si cabe a apoyar en la detección y supresión de sus armas. Desde BOTECH queremos aportar nuestro granito de arena para mitigar este círculo vicioso de criminalidad y mejora técnica.

Dificultando la detección

Grandoreiro es difícil de detectar porque cambia mucho, y le va la “vida” en ello. El troyano “engorda” sus binarios para que sobrecargando el sistema el antivirus “pase de él”. Analizar ejecutables de 300MB, sin eurísticas muy finas, es muy complicado para cualquier motor. Así es cómo Grandoreiro corre dentro de tus sistemas.

Detectando Grandoreiro aunque cambie

¿Qué podemos hacer para complicarles la vida a los cibercriminales? Vamos a intentar centrarnos en lo que no cambia de Grandoreiro. Para estafarte, el troyano “modifica” tu navegador para cambiar tu relación con el banco y que tus transferencias, por ejemplo, acaben en cuentas a las que nunca deberían haber llegado tus fondos: las cuentas de los llamados “muleros”, colaboradores necesarios y sacrificables de estas bandas.
Esta modificación la realiza incluyendo extensiones en tu navegador. Uno de los más conocidos es Google Chrome, y Grandoreiro tiene una extensión especial para Chrome para poder “pinchar” tus comunicaciones y darte gato por liebre.
Si tuviéramos una lista de extensiones y lo que hacen tendríamos el problema casi resuelto. Pero esto no está al alcance de cualquiera.
Por eso hemos creado el servicio de protección ISOPH.

Consultas OSQUERY contra Grandoreiro

¿Cómo elaboramos la lista de extensiones? Con OSQUERY es una tarea relativamente sencilla, porque OSQUERY lleva “de serie” una tabla en la que nuestro agente ISOPH puede consultar qué extensiones tienes instaladas y poder protegerte:

Tabla de Extensiones de Chrome

Además también podemos verificar más cosas asociadas a Grandoreiro y su modus operandi, como por ejemplo si algún proceso de los que está corriendo (o gracias a ISOPH, corrió!) en tus sistemas ha tenido o tiene más de 100MB de tamaño y está en alguna carpeta de usuario como las de roaming, y otros sistemas que permitan detectar futuras versiones de este este troyano que preferimos no contar aquí, no vaya a ser que los malos nos lean.

Tabla de Procesos

ISOPH: alerta temprana

ISOPH te protege, sin coste, de todo esto que te contamos y mucho más, porque solamente con el antivirus no es suficiente para estar seguro. Además de vigilar de forma específica ransomware y troyanos bancarios te decimos si los parches de tu sistema están al día para que toda la seguridad de tu equipo funcione correctamente. Lo puedes descargar gratuitamente desde nuestra web en http://www.botechfpi.com
¡Hasta el siguiente asalto!


¡Hasta el siguiente asalto!

Organizaciones afectadas (inyecciones Grandoreiro)

Cecabank natwestSantanderUKHSBCUK
BarclaysBICERipleyBci
ChileBancoEstadoFalabellaItaú
SantanderScotiaBankPT_1CecaBank
natwestSantanderUKHSBCUKBarclays
BICERipleyBciChile
BancoEstadoFalabellaItaúSantander
ScotiaBankPT_1EURTRAVALiberbank
TRAVABBVATRAVABankiaTRAVALaCaixaTRAVASTESPANHA
TRABABLOCKCHAINTRAVACAJARURALTRAVASabadellTRAVABANKINTER
TRAVALabooralTRAVACajamarTRAVAOpenBankTRAVAING
TRAVAPichinchaTRAVACaixaGeralTRAVAMediolanumTRAVAUnicaja
TRAVATRIODOSTRAVAACTIVOBANKTRAVACecabankTRAVAACTIVOBANKPT
TRAVAMONTEPIOptTRAVANovobancoptTRAVASantaptTRAVAMillenniumbcppt
TRAVACaixadirectaptTRAVAEuroBicptTRAVACréditoAgrícolaTRAVABPI
TRAVAPortugalBBVATRAVABICETRAVARipleyTRAVABci
TRAVAChileTRAVABancoEStadoTRAVABancoFalabellaTRAVAItaú
TRAVASantanderTRAVAChileScotiaBankTRAVASGLOBALRECORTECecaBank
RECORTECTIVOBANKRECORTECaixaGeralRECORTEBBVARECORTELACAIXA
RECORTESTDAESPANHARECORTEBLOCKCHAINRECORTECAJARURALRECORTESabadell
RECORTEBANKINTERRECORTELaboralRECORTEBANKIARECORTECajamar
RECORTELiberbankRECORTEOpenBankRECORTEINGRECORTEPichincha
RECORTEIbercajaRECORTEMediolanumRECORTEUnicajaRECORTETRIODOS
RECORTEACTIVOBANKPTRECORTENovoBancoptRECORTEMONTEPIOptRECORTESantapt
RECORTEMillenniumbcpptRECORTECaixadirectaptRECORTEEuroBicptRECORTECréditoAgrícola
RECORTEBPIRECORTEPortugalBBVARECORTEBICERECORTERipley
RECORTEBciRECORTEChileRECORTEBancoEstadoRECORTEFalabella
RECORTEItaúRECORTESantanderRECORTECHILEScotiaBankRECORTESGLOBAL

Referencias

https://seguranca-informatica.pt/the-updated-grandoreiro-malware-equipped-with-latenbot-c2-features-in-q2-2020-now-extended-to-portuguese-banks/

https://securityaffairs.co/wordpress/103853/malware/grandoreiro-malware-q2-2020.html?utm_source=rss&utm_medium=rss&utm_campaign=grandoreiro-malware-q2-2020

Un post de Bruno Díaz, Cybersecurity Services Delivery Director en BOTECH