Опасный банковский вирус распространяется через видео о коронавирусе
ESET на официальном сайте сообщила о всплеске активности банковского трояна Grandoreiro на фоне пандемии COVID-19.
Ранее Grandoreiro распространялся при помощи спама через фейковые обновления Java или Flash. Теперь он стал скрываться в видео на поддельных сайтах, обещающих раскрыть секретную информацию про коронавирус. После попытки воспроизвести ролик начинается загрузка вредоноса на устройство пользователя.
«Среди функций бэкдора Grandoreiro: манипулирование окнами, самообновление, захват клавиш, моделирование действий мыши и клавиатуры, управление браузером жертвы и навигация по выбранным URL-адресам. Перезапуск устройств, блокировка доступа к определенным веб-сайтам, — отмечают специалисты.
Троян собирает информацию о скомпрометированных устройствах: название компьютера, имя пользователя, версия операционной системы. Также выясняет, установлено ли приложение для защиты доступа к онлайн-банкингу, получает список установленных антивирусов. Некоторые его версии также способны похищать учетные данные, хранящиеся в Google Chrome и Microsoft Outlook.
В отличие от других банковских троянов, Grandoreiro использует небольшие сети для распространения. Для разных кампаний выбираются различные типы загрузчиков. Они нередко хранятся в известных публичных онлайн-сервисах вроде GitHub, Dropbox, Pastebin, 4shared или 4Sync.