به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت امنیتی «IBM X-Force» در گزارشی تازه اعلام کردند افرادی ناشناس با بهرهگیری از کرونا ویروس و بدافزار گرندوریرو «Grandoreiro» از ماه فوریه 2020 کمپین حملات پنهان سایبری علیه مشتریان بانکهای اسپانیا تدارک دیدهاند.
مهاجمان در این کمپین به قربانیان پیامهای اسپم به همراه ویدئوهای مربوط به کروناویروس ارسال میکنند تا آنها را ترغیب کنند از طریق یک لینک وارد سایت مخرب شوند. زمانی که کاربران وارد سایت میشوند مهاجمان آنها را متقاعد میکنند از گیت هاب فایل .MSI را بارگیری کنند که بهعنوان دانلودر بدافزار عمل میکند.
گرندوریرو زمانی که وارد سیستم کاربر میشود یک افزونه مخرب کروم به نام «Google Plugin version 1.5.0» در آن بارگیری و نصب میکند و در مرورگر دکمه افزونه ظاهر میشود. این افزونه مجوزهای بسیاری منجمله دسترسی به سابقه مرورگر، نمایش اعلانها، اصلاح دادههایی که کپی و پیست میشوند را درخواست میکند.
تروجان مذکور به کمک این افزونه فایلهای کوکی را سرقت میکند و مهاجمان آنها را از یک دستگاه دیگر جهت شرکت در جلسات فعال (Active Sessions) کاربر استفاده میکنند.
گرندوریرو پس از نصب روی دستگاه، در پسزمینه منتظر میماند تا کاربر وارد حساب خود در سایت بانک شود و سپس تبلیغات تمام صفحهای که به صفحه سایت درخواستی کاربر شبیهسازیشده است، نمایش میدهد.
در ادامه مهاجمان کاربر را وادار میکنند جلسه را فعال نگه دارد و بهاینترتیب اعتبارنامه کاربر را سرقت کرده و از طریق آن در پسزمینه اقدام به نقلوانتقال پول از حساب قربانی میکنند و بانک نمیتواند تراکنشهای مشکوک را شناسایی کند.
