ESET на официальном сайте сообщила о всплеске активности банковского трояна Grandoreiro на фоне пандемии COVID-19.

Ранее Grandoreiro распространялся при помощи спама через фейковые обновления Java или Flash. Теперь он стал скрываться в видео на поддельных сайтах, обещающих раскрыть секретную информацию про коронавирус. После попытки воспроизвести ролик начинается загрузка вредоноса на устройство пользователя.

«Среди функций бэкдора Grandoreiro: манипулирование окнами, самообновление, захват клавиш, моделирование действий мыши и клавиатуры, управление браузером жертвы и навигация по выбранным URL-адресам. Перезапуск устройств, блокировка доступа к определенным веб-сайтам», — отмечают специалисты.

Троян собирает информацию о скомпрометированных устройствах: название компьютера, имя пользователя, версия операционной системы. Также выясняет, установлено ли приложение для защиты доступа к онлайн-банкингу, получает список установленных антивирусов. Некоторые его версии также способны похищать учетные данные, хранящиеся в Google Chrome и Microsoft Outlook.

В отличие от других банковских троянов, Grandoreiro использует небольшие сети для распространения. Для разных кампаний выбираются различные типы загрузчиков. Они нередко хранятся в известных публичных онлайн-сервисах вроде GitHub, Dropbox, Pastebin, 4shared или 4Sync.

Источник: 42.tut.by