Jakarta, PCplus – Meskipun operator penting telah ditangkap pada awal tahun 2024, Grandoreiro tetap digunakan oleh mitranya dalam berbagai kampanye baru. Tim Riset dan Analisis Global Kaspersky (GReAT) menemukan versi baru yang lebih ringan. Mereka yang menargetkan sekitar 30 bank di Meksiko. Temuan ini menjadi topik utama di Security Analyst Summit (SAS) 2024.
Baca Juga: Kaspersky Gagalkan Hampir 5 Juta Ancaman Online
Grandoreiro tetap menjadi salah satu ancaman paling aktif secara global, menargetkan pengguna lebih dari 1.700 bank. Ia juga menyumbang sekitar lima persen dari serangan trojan perbankan tahun ini. Meksiko adalah salah satu negara yang paling banyak menjadi target berbagai jenis Grandoreiro. Termasuk versi ringan baru ini, dengan 51.000 insiden tercatat pada tahun 2024.
Versi baru melanjutkan serangan
Setelah membantu tindakan terkoordinasi INTERPOL yang membantu otoritas Brasil menangkap operator di balik operasi trojan perbankan Grandoreiro, Kaspersky menemukan bahwa basis kode kelompok tersebut telah dipecah menjadi versi trojan yang lebih ringan dan terfragmentasi untuk melanjutkan serangannya. Analisis terbaru mengidentifikasi versi ringan tertentu yang difokuskan pada Meksiko. Mereka digunakan untuk menargetkan sekitar 30 lembaga keuangan negara itu. Pembuatnya kemungkinan memiliki akses ke kode sumber dan meluncurkan kampanye baru menggunakan malware kuno yang disederhanakan.
“Semua perkembangan terkini menggarisbawahi sifat ancaman yang terus berkembang. Versi yang terfragmentasi dan lebih ringan mungkin merupakan tren yang dapat meluas ke luar Meksiko dan ke wilayah lain, termasuk di luar Amerika Latin. Namun, kami yakin bahwa hanya beberapa afiliasi tepercaya yang memiliki akses ke kode sumber malware untuk mengembangkan versi yang lebih ringan tersebut. Grandoreiro beroperasi secara berbeda dari model ‘Malware-as-a-Service’ tradisional yang biasa kita gunakan. Anda tidak akan menemukan pengumuman di forum dark web yang menjual paket Grandoreiro. Justru sebaliknya, akses ke sana tampaknya terbatas,” jelas Fabio Assolini, kepala GReAT Amerika Latin di Kaspersky.
Menyumbang serangan trojan global
Beberapa varian Grandoreiro, termasuk versi ringan baru dan malware utama, menyumbang sekitar lima persen dari serangan trojan perbankan global yang dideteksi oleh Kaspersky pada tahun 2024. Ini menjadikannya salah satu ancaman paling aktif di seluruh dunia. Kaspersky juga telah menganalisis sampel Grandoreiro utama yang lebih baru dari tahun 2024, dan mengamati taktik baru. Ia merekam aktivitas tetikus untuk meniru pola pengguna yang sebenarnya. Dengan tujuan untuk menghindari deteksi oleh sistem keamanan berbasis pembelajaran mesin yang menganalisis perilaku. Dengan memutar ulang gerakan tetikus yang alami, malware tersebut bertujuan untuk mengelabui alat antipenipuan agar melihat aktivitas tersebut sebagai aktivitas yang sah.
Selain itu, Grandoreiro telah mengadopsi teknik kriptografi yang dikenal sebagai Ciphertext Stealing (CTS). Hal ini belum pernah dilihat Kaspersky dalam penggunaan malware. Dalam kasus ini, tujuannya adalah untuk mengenkripsi rangkaian kode berbahaya. “Grandoreiro memiliki struktur yang besar dan kompleks, yang akan memudahkan alat keamanan atau analis untuk mendeteksi jika rangkaiannya tidak dienkripsi. Ini mungkin alasan mereka memperkenalkan teknik baru ini – untuk mempersulit deteksi dan analisis serangan mereka,” Fabio Assolini menambahkan.