Jakarta, Titik Kumpul – Selain operator utama yang ditangkap awal tahun ini, Grandoreiro terus dimanfaatkan mitranya dalam berbagai kampanye baru.
Tim Riset dan Analisis Global (GReAT) Kaspersky menemukan versi baru yang lebih ringan yang berfokus di Meksiko, menargetkan 30 bank.
Aktif sejak tahun 2016, varian Grandoreiro tetap menjadi salah satu ancaman paling aktif di seluruh dunia, menargetkan pengguna di lebih dari 1.700 lembaga keuangan dan 276 mata uang kripto di 45 negara, yang menyebabkan sekitar lima persen serangan Trojan perbankan tahun ini.
Meksiko menjadi negara yang paling banyak menjadi sasaran berbagai jenis Grandoreiro, termasuk versi ringan baru, yang mencatat 51 ribu insiden pada tahun 2024.
Setelah membantu operasi INTERPOL terkoordinasi yang membantu pihak berwenang Brasil menangkap operator di balik operasi Trojan perbankan Grandoreiro, Kaspersky menemukan bahwa basis kode kelompok tersebut telah dipecah menjadi versi Trojan yang lebih ringan dan terfragmentasi untuk melanjutkan serangan Trojan.
Analisis baru-baru ini menemukan varian ringan yang berfokus pada Meksiko dan digunakan untuk menargetkan sekitar 30 lembaga keuangan.
Pembuatnya mungkin memiliki akses ke kode sumber dan memulai kampanye baru menggunakan malware lama yang disederhanakan.
Semua perkembangan terkini menyoroti sifat ancaman yang terus berkembang. Versi yang lebih gemuk dan lebih ringan akan menjadi tren yang mungkin menyebar ke luar Meksiko dan wilayah lain, termasuk Amerika Latin.
“Grandoreiro bekerja secara berbeda dari model tradisional ‘Malware-as-a-Service’ yang biasa kita gunakan. Anda tidak akan menemukan iklan yang menjual paket Grandoreiro di forum web gelap. Sebaliknya, aksesnya sepertinya dibatasi,” dia dikatakan . Fabio Assolini, kepala GREAT untuk Amerika Latin di Kaspersky.
Beberapa varian Grandoreiro, termasuk versi ringan baru dan malware utama, menyumbang sekitar lima persen serangan Trojan perbankan global yang terdeteksi oleh Kaspersky tahun ini, menjadikannya salah satu ancaman cyber paling aktif di seluruh dunia.
Kaspersky juga menganalisis pola-pola utama Grandoreiro yang lebih baru dari tahun 2024 dan mengamati taktik-taktik baru.
Trojan ini mencatat aktivitas mouse untuk meniru pola pengguna sebenarnya dengan tujuan menghindari deteksi oleh sistem keamanan berbasis pembelajaran mesin yang menganalisis perilaku.
Dengan memutar ulang gerakan alami mouse, malware ini bertujuan untuk mengelabui alat anti-penipuan agar menganggap aktivitas tersebut sah. Grandoreiro mengadopsi teknik kriptografi yang dikenal sebagai Cipher Text Stealing (CTS), yang belum pernah dilihat Kaspersky sebelumnya pada malware.
“Teknik ini bertujuan untuk mengenkripsi rangkaian kode berbahaya. Grandoreiro memiliki struktur besar dan kompleks yang memudahkan alat keamanan atau analis untuk mendeteksi jika rangkaian tersebut tidak dienkripsi. Mungkin inilah alasan mereka memperkenalkan teknik baru ini – untuk membuatnya sulit mengidentifikasi dan menganalisis serangan, ” jelasnya.