Grand final dari seri kami yang didedikasikan untuk mengungkap trojan perbankan Amerika Latin
ESET memulai seri posting blog ini yang didedikasikan untuk mengungkap trojan perbankan Amerika Latin pada Agustus 2019. Sejak itu, kami telah membahas yang paling aktif, yaitu amavaldo, Casbaneiro, salah padu, Persekutuan, Grandoreiro, mekotio, Vadokrist, Ousaba dan Numando. Trojan perbankan Amerika Latin memiliki banyak karakteristik dan perilaku yang sama โ topik yang didedikasikan ESET sebagai laporan resmi ke. Oleh karena itu, dalam seri ini, kami berfokus pada fitur unik dari setiap keluarga malware untuk membantu membedakan satu dari yang lain.
Takeaway kunci
- Trojan perbankan Amerika Latin adalah ancaman yang terus berkembang
- Mereka menargetkan terutama Brasil, Spanyol, dan Meksiko
- Setidaknya ada delapan keluarga malware berbeda yang masih aktif pada saat penulisan ini
- Tiga keluarga menjadi tidak aktif selama seri ini sehingga tidak mendapatkan posting blog mereka sendiri, tetapi kami menjelaskan secara singkat fitur utama mereka di sini
- Sebagian besar didistribusikan melalui spam, biasanya mengarah ke arsip ZIP atau penginstal MSI
Kondisi saat ini
Selain Amavaldo, yang menjadi tidak aktif sekitar November 2020, semua keluarga lainnya tetap aktif hingga hari ini. Brasil masih menjadi negara yang paling diincar, diikuti oleh Spanyol dan Meksiko (lihat Gambar 1). Sejak 2020, Grandoreiro dan Mekotio berekspansi ke Eropa โ terutama Spanyol. Apa yang dimulai sebagai beberapa kampanye kecil, kemungkinan untuk menguji wilayah baru, berkembang menjadi sesuatu yang banyak lebih baik. Faktanya, pada Agustus dan September 2021, Grandoreiro meluncurkan kampanye terbesarnya sejauh ini dan menargetkan Spanyol (lihat Gambar 2).
Gambar 1. Tiga negara teratas yang paling terpengaruh oleh trojan perbankan Amerika Latin
Gambar 2. Aktivitas trojan perbankan LATAM di Spanyol
Sementara Grandoreiro tetap dominan di Spanyol, Ousaban dan Casbaneiro mendominasi Brasil dalam beberapa bulan terakhir, seperti yang diilustrasikan oleh Gambar 3. Mispadu tampaknya telah mengalihkan fokusnya hampir secara eksklusif ke Meksiko, kadang-kadang disertai oleh Casbaneiro dan Grandoreiro, seperti yang terlihat pada Gambar 4.
Gambar 3. Aktivitas trojan perbankan LATAM di Brasil
Gambar 4. Aktivitas trojan perbankan LATAM di Meksiko
Trojan perbankan Amerika Latin dulunya berubah dengan cepat. Pada hari-hari awal pelacakan kami, beberapa dari mereka menambahkan atau memodifikasi fitur inti mereka beberapa kali dalam sebulan. Saat ini mereka masih sangat sering berubah, tetapi intinya tampaknya sebagian besar tetap tidak tersentuh. Karena perkembangan yang sebagian stabil, kami percaya operator sekarang fokus pada peningkatan distribusi.
Kampanye yang kami lihat selalu datang dalam gelombang dan lebih dari 90% didistribusikan melalui spam. Satu kampanye biasanya berlangsung paling lama seminggu. Pada Q3 dan Q4 2021, kami telah melihat Grandoreiro, Ousaban, dan Casbaneiro meningkatkan jangkauan mereka secara signifikan dibandingkan dengan aktivitas mereka sebelumnya, seperti yang diilustrasikan pada Gambar 5.
Gambar 5. Aktivitas trojan perbankan LATAM di seluruh dunia
Dampak
Trojan perbankan Amerika Latin memerlukan banyak kondisi agar berhasil menyerang:
- Calon korban harus mengikuti langkah-langkah yang diperlukan untuk menginstal malware di mesin mereka
- Korban perlu mengunjungi situs web yang ditargetkan dan masuk ke akun mereka
- Operator perlu bereaksi terhadap situasi ini dan secara manual memerintahkan malware untuk menampilkan jendela pop-up palsu dan mengendalikan mesin korban
- Korban tidak perlu mencurigai aktivitas jahat dan bahkan mungkin memasukkan kode otentikasi dalam kasus 2FA
Yang mengatakan, sulit untuk memperkirakan dampak trojan perbankan ini hanya berdasarkan telemetri. Namun, pada bulan Juni tahun ini, kami bisa mendapatkan gambaran saat penegak hukum Spanyol menangkap 16 orang yang terkait dengan Mekotio dan Grandoreiro.
Dalam majalah melaporkan, polisi menyatakan bahwa hampir โฌ300,000 dicuri dan mereka dapat memblokir transfer total โฌ3.5 juta. Menghubungkan penangkapan ini dengan Gambar 2, kita melihat bahwa Mekotio tampaknya telah menerima pukulan yang jauh lebih besar daripada Grandoreiro, membuat kita percaya bahwa orang-orang yang ditangkap lebih terkait dengan Mekotio. Meskipun Mekotio menjadi sangat sunyi selama hampir dua bulan setelah penangkapan, ESET terus melihat kampanye baru yang mendistribusikan Mekotio pada saat penulisan.
Untuk tujuan referensi, pada tahun 2018, Pasukan polisi Brasil menangkap seorang penjahat di belakang trojan perbankan lain dalam apa yang disebut Operation Otentation. Mereka memperkirakan dia berhasil mencuri sekitar US$400 juta dari para korban di Brasil.
Keluarga yang tidak kami liput
Selama seri kami, beberapa trojan perbankan Amerika Latin menjadi tidak aktif. Meskipun kami telah merencanakan untuk mendedikasikan bagian-bagian terpisah untuk mereka, karena mereka telah tidak aktif selama lebih dari satu tahun sekarang, kami hanya akan menyebutkannya secara singkat di bagian di bawah ini. Kami juga menyediakan IoC untuk mereka di akhir posting blog ini.
Krachulka
Keluarga malware ini aktif di Brasil hingga pertengahan 2019. Karakteristiknya yang paling terlihat adalah penggunaan metode kriptografi terkenal untuk mengenkripsi string, berbeda dengan mayoritas trojan perbankan Amerika Latin yang terutama menggunakan skema enkripsi khusus, beberapa di antaranya dibagi di seluruh keluarga ini. Kami telah mengamati varian Krachulka menggunakan AES, RC2, RC4, 3DES dan varian Salsa20 yang sedikit disesuaikan.
Krachulka, meskipun ditulis dalam Delphi seperti kebanyakan trojan perbankan Amerika Latin lainnya, didistribusikan oleh pengunduh yang ditulis dalam bahasa pemrograman Go โ karakteristik unik lainnya di antara jenis malware perbankan ini (lihat Gambar 6).
Gambar 6. Pengunduh Krachulka ditulis dalam Go
Lokorrito
Kelompok malware ini aktif terutama di Meksiko hingga awal 2020. Kami dapat mengidentifikasi build tambahan, masing-masing didedikasikan untuk menargetkan negara yang berbeda โ Brasil, Cile, dan Kolombia.
Fitur yang paling mengidentifikasi Lokorrito adalah penggunaan kebiasaan User-Agent string dalam komunikasi jaringan (lihat Gambar 7). Kami telah mengamati dua nilai โ LA CONCHA DE TU MADRE dan 4RR0B4R 4 X0T4 D4 TU4 M4E, keduanya ekspresi yang cukup vulgar dalam bahasa Spanyol dan Portugis, masing-masing.
Gambar 7. Lokorrito User-Agent
Kami telah mengidentifikasi beberapa modul tambahan terkait Lokorrito. Pertama, pintu belakang, yang pada dasarnya berfungsi seperti versi sederhana dari trojan perbankan tanpa dukungan jendela overlay palsu. Kami percaya itu dipasang di beberapa kampanye Lokorrito terlebih dahulu dan, hanya jika penyerang merasa cocok, itu diperbarui ke trojan perbankan yang sebenarnya. Kemudian, alat spam, yang menghasilkan email spam yang mendistribusikan Lokorrito dan mengirimkannya ke calon korban lebih lanjut. Alat ini menghasilkan email berdasarkan data hardcoded dan data yang diperoleh dari server C&C. Terakhir, kami mengidentifikasi pencuri info sederhana yang dirancang untuk mencuri buku alamat Outlook korban dan pencuri kata sandi yang dimaksudkan untuk mengambil kredensial Outlook dan FileZilla.
Zumanek
Keluarga malware ini aktif secara eksklusif di Brasil hingga pertengahan tahun 2020. Ini adalah keluarga malware trojan perbankan Amerika Latin pertama yang diidentifikasi ESET. Faktanya, ESET menganalisis satu varian pada 2018 di sini (dalam bahasa Portugis).
Zumanek diidentifikasi dengan metodenya untuk mengaburkan string. Ini menciptakan fungsi untuk setiap karakter alfabet dan kemudian menggabungkan hasil pemanggilan fungsi yang benar secara berurutan, seperti yang diilustrasikan pada Gambar 8.
Gambar 8. Teknik obfuscation string Zumanek
Menariknya, Zumanek tidak pernah menggunakan metode eksekusi payload yang rumit. Pengunduhnya cukup mengunduh arsip ZIP yang hanya berisi trojan perbankan yang dapat dieksekusi, biasanya bernama drive2. Eksekusi sangat sering dilindungi oleh pengepakan VMProtect atau Armadillo.
Kami berpikir dengan keyakinan rendah bahwa Ousaba mungkin benar-benar penerus Zumanek. Meskipun kedua keluarga malware tampaknya tidak memiliki kesamaan kode, format konfigurasi jarak jauh mereka menggunakan pembatas yang sangat mirip (lihat Gambar 9). Selain itu, kami telah mengamati beberapa server yang digunakan oleh Ousaban yang sangat mirip dengan yang digunakan oleh Zumanek di masa lalu.
Gambar 9. Persamaan antara format konfigurasi jarak jauh Zumanek dan Ousaban
Masa depan
Sejak trojan perbankan Amerika Latin meluas ke Eropa, mereka mendapat lebih banyak perhatian dari peneliti dan pasukan polisi. Dalam beberapa bulan terakhir, kami telah melihat beberapa kampanye terbesar mereka hingga saat ini.
Peneliti ESET juga menemukan Janeleiro, trojan perbankan Amerika Latin yang ditulis dalam .NET. Selain itu, kami mungkin melihat beberapa trojan perbankan ini meluas ke platform Android. Bahkan, salah satu trojan perbankan tersebut, ghimob, telah dikaitkan dengan aktor ancaman di belakang Guildma. Namun, karena kami terus melihat para pengembang secara aktif meningkatkan binari Delphi mereka, kami yakin mereka tidak akan mengabaikan persenjataan mereka saat ini.
Meskipun banyak trojan perbankan Amerika Latin agak rumit dan terlalu rumit dalam implementasinya, mereka mewakili pendekatan yang berbeda untuk menyerang rekening bank korban. Berlawanan dengan trojan perbankan paling terkenal di masa lalu, mereka tidak menyuntikkan browser web, mereka juga tidak perlu menemukan cara untuk menyuntik situs web perbankan tertentu. Sebaliknya, mereka merancang jendela pop-up โ kemungkinan proses yang jauh lebih cepat dan lebih mudah. Pelaku ancaman sudah memiliki template yang dapat mereka modifikasi dengan mudah untuk lembaga keuangan yang berbeda (lihat Gambar 10). Itu adalah keuntungan utama mereka.
Gambar 10. Template jendela overlay palsu
Kerugian utama adalah bahwa sangat sedikit atau tidak ada otomatisasi dalam proses serangan โ tanpa partisipasi aktif penyerang, trojan perbankan hampir tidak akan membahayakan. Apakah beberapa jenis malware baru akan mencoba mengotomatiskan pendekatan ini tetap menjadi pertanyaan di masa depan.
Kesimpulan
Dalam seri kami, kami telah menghadirkan trojan perbankan Amerika Latin paling aktif dalam beberapa tahun terakhir. Kami telah mengidentifikasi selusin keluarga malware yang berbeda, yang sebagian besar tetap aktif pada saat penulisan ini. Kami telah mengidentifikasi fitur unik mereka serta banyak kesamaan mereka.
Penemuan paling signifikan selama rangkaian kami kemungkinan adalah perluasan Mekotio dan Grandoreiro ke Eropa. Selain Spanyol, kami sesekali mengamati kampanye kecil yang menargetkan Italia, Prancis, dan Belgia. Kami percaya trojan perbankan ini akan terus menguji wilayah baru untuk ekspansi di masa depan.
Telemetri kami menunjukkan peningkatan besar yang mengejutkan dalam jangkauan Ousaban, Grandoreiro, dan Casbaneiro dalam beberapa bulan terakhir, membuat kami menyimpulkan bahwa pelaku ancaman di balik kelompok malware ini bertekad untuk melanjutkan tindakan jahat mereka terhadap pengguna di negara yang ditargetkan. ESET akan terus melacak trojan perbankan ini dan menjaga keamanan pengguna dari ancaman ini.
For any inquiries, contact us as [email dilindungi]. Indicators of Compromise for all the mentioned malware families can also be found on repositori GitHub kami.
Indikator Kompromi (IoC)
Hash
Krachulka
| SHA-1 | Deskripsi Produk | Nama deteksi ESET |
|---|---|---|
| 83BCD611F0FD4D7D06C709BC5E26EB7D4CDF8D01 | Trojan perbankan Krachulka | Win32/Spy.Krachulka.C |
| FFE131ADD40628B5CF82EC4655518D47D2AB7A28 | Trojan perbankan Krachulka | Win32/Spy.Krachulka.C |
| 4484CE3014627F8E2BB7129632D5A011CF0E9A2A | Trojan perbankan Krachulka | Win32/Spy.Krachulka.A |
| 20116A5F01439F669FD4BF77AFEB7EFE6B2175F3 | Pengunduh Krachulka Go | Win32/TrojanDownloader.Banload.YJA |
Lokorrito
| SHA-1 | Deskripsi Produk | Nama deteksi ESET |
|---|---|---|
| 4249AA03E0F5142821DB2F1A769F3FE3DB63BE54 | Trojan perbankan Lokorrito | Win32/Spy.Lokorrito.L |
| D30F968741D4023CD8DAF716C78510C99A532627 | Trojan perbankan Lokorrito | Win32/Spy.Lokorrito.A |
| 6837d826fbff3d81b0def4282d306df2ef59e14a | Trojan perbankan Lokorrito | Win32/Spy.Lokorrito.L |
| 2F8F70220A9ABDCAA0868D274448A9A5819A3EBC | Modul pintu belakang Lokorrito | Win32/Spy.Lokorrito.S |
| 0066035B7191ABB4DEEF99928C5ED4E232428A0D | Modul pintu belakang Lokorrito | Win32/Spy.Lokorrito.R |
| B29BB5DB1237A3D74F9E88FE228BE5A463E2DFA4 | Modul pintu belakang Lokorrito | Win32/Spy.Lokorrito.M |
| 119DC4233DF7B6A44DEC964A084F447553FACA46 | Alat spam | Win32/SpamTool.Agent.NGO |
| 16C877179ADC8D5BFD516B5C42BF9D0809BD0BAE | Pencuri kata sandi | Win32/Spy.Banker.ADVQ |
| 072932392CC0C2913840F494380EA21A8257262C | Pencuri info Outlook | Win32/Spy.Agent.PSN |
Zumanek
| SHA-1 | Deskripsi Produk | Nama deteksi ESET |
|---|---|---|
| 69FD64C9E8638E463294D42B7C0EFE249D29C27E | Trojan perbankan Zumanek | Win32/Spy.Zumanek.DO |
| 59C955C227B83413B4BDF01F7D4090D249408DF2 | Trojan perbankan Zumanek | Win32/Spy.Zumanek.DK |
| 4E49D878B13E475286C59917CC63DB1FA3341C78 | Trojan perbankan Zumanek | Win32/Spy.Zumanek.DK |
| 2850B7A4E6695B89B81F1F891A48A3D34EF18636 | Pengunduh Zumanek (MSI) | Win32/Spy.Zumanek.DN |
| C936C3A661503BD9813CB48AD725A99173626AAE | Pengunduh Zumanek (MSI) | Win32/Spy.Zumanek.DM |
Teknik ATT&CK MITER
Kami telah membuat tabel MITER ATT&CK yang menunjukkan perbandingan teknik yang digunakan oleh trojan perbankan Amerika Latin yang ditampilkan dalam seri ini. Itu dirilis sebagai bagian dari kertas putih kami yang didedikasikan untuk memeriksa banyak kesamaan antara trojan perbankan ini dan dapat ditemukan di sini.
Sumber: https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/
