Operación internacional
para desarticular el troyano bancario Grandoreiro
ESET participa en una operación internacional para desarticular el troyano bancario Grandoreiro
ESET ha colaborado con la Policía Federal de Brasil en la desarticulación de la botnet Grandoreiro, proporcionando análisis técnicos, información estadística y nombres de dominio y direcciones IP de servidores de comando y control (C&C) conocidos. Gracias a un fallo de diseño en el protocolo de red de Grandoreiro, los investigadores de ESET también pudieron observar su victimología.
Los sistemas automatizados de ESET procesaron decenas de miles de muestras de Grandoreiro. El algoritmo de generación de dominios (DGA) que el malware ha utilizado desde octubre de 2020 produce un dominio principal, y opcionalmente varios dominios a prueba de fallos, por día. El DGA es la única forma que conoce Grandoreiro de informar a un servidor de C&C. Además de la fecha actual, la DGA también acepta configuraciones estáticas – hemos observado 105 configuraciones de este tipo en el momento de escribir este artículo.
Los operadores de la ciberamenaza han abusado de proveedores en la nube como Azure y AWS para alojar su infraestructura de red. Los investigadores de ESET proporcionaron datos cruciales para identificar las cuentas responsables de configurar estos servidores. La investigación adicional llevada a cabo por la Policía Federal de Brasil condujo a la identificación y detención de las personas que controlaban estos servidores.
Protocolo de red
Grandoreiro utiliza RTC Portal, un conjunto de componentes Delphi construidos sobre el SDK RealThinClient que está construido sobre HTTP(S). RTC Portal se dejó de fabricar en 2017 y su código fuente se publicó en GitHub. Esencialmente, RTC Portal permite que uno o más Controles accedan remotamente a uno o más Hosts. Los Hosts y los Controles están separados por un componente mediador llamado Gateway.
Los operadores de Grandoreiro utilizan una consola (que actúa como Control) para conectarse al servidor de C&C (que actúa como Gateway) y comunicarse con las máquinas comprometidas (que actúan como Hosts). Para conectarse a Gateway, se requieren tres parámetros: una clave secreta, la longitud de la clave y un nombre de usuario.
La clave secreta se utiliza para cifrar la solicitud inicial enviada al servidor. Por lo tanto, el servidor también necesita conocer la clave secreta para descifrar la solicitud inicial del cliente.
Leer articulo completo acá:
© 2022 - Todos los derechos reservados.