Pengguna komputer, waspadalah! Malware perbankan Grandoreiro berbasis Windows telah kembali aktif sejak Maret 2024, setelah sebelumnya sempat dit takedown (dihentikan) oleh penegak hukum pada Januari.
Serangan phishing skala besar ini diduga melibatkan kerja sama Grandoreiro dengan pelaku kejahatan siber lainnya melalui model Malware-as-a-Service (MaaS). Target mereka? Lebih dari 1.500 bank di seluruh dunia, mencakup 60 negara di Amerika Tengah dan Selatan, Afrika, Eropa, dan Indo-Pasifik, menurut IBM X-Force.
Grandoreiro yang berevolusi
Sebelumnya, Grandoreiro memang terkenal fokus mengincar korban di Amerika Latin, Spanyol, dan Portugal. Namun perluasan target ini diduga menjadi strategi baru mereka setelah infrastruktur mereka berhasil dibobolkan oleh otoritas Brasil.
Selain perluasan target, Grandoreiro juga menunjukkan peningkatan signifikan pada malware itu sendiri. Hal ini mengindikasikan adanya pengembangan aktif oleh para pembuatnya.
“Analisis malware mengungkapkan pembaruan besar pada proses dekripsi string dan algoritme pembuatan domain (DGA),” ungkap peneliti keamanan Golo Mühr dan Melissa Frydrych. “Selain itu, Grandoreiro sekarang memiliki kemampuan untuk menggunakan klien Microsoft Outlook pada perangkat yang terinfeksi untuk menyebarkan email phishing lebih lanjut.”
Serangan Berawal dari Phishing
Serangan Grandoreiro dimulai dengan email phishing. Email tersebut biasanya berisi instruksi untuk mengklik tautan tertentu. Tautan tersebut bisa berupa tautan untuk melihat faktur atau melakukan pembayaran, tergantung pada umpan yang digunakan dan lembaga pemerintah yang ditiru dalam pesan tersebut.
Unduh Malware yang Disamarkan
Jika pengguna mengklik tautan tersebut, mereka akan diarahkan ke gambar ikon PDF. Padahal, sebenarnya mereka sedang mengunduh arsip ZIP yang berisi program jahat (executable) pemuat Grandoreiro.
Pembawa (loader) Grandoreiro ini sengaja dibuat berukuran besar, lebih dari 100 MB, untuk menghindari deteksi oleh perangkat lunak antivirus. Program ini juga berfungsi untuk memastikan perangkat korban tidak berada dalam lingkungan sandbox (lingkungan terisolasi untuk menguji keamanan), mengumpulkan data dasar korban ke server command-and-control (C2), dan mengunduh serta menjalankan program trojan perbankan utama.
Menghindari Deteksi dan Menyebar melalui Spam
Perlu dicatat bahwa Grandoreiro juga memiliki langkah verifikasi untuk menghindari sistem yang berlokasi di Rusia, Ceko, Polandia, dan Belanda, serta perangkat Windows 7 di Amerika Serikat yang tidak memiliki antivirus.
Setelah diunduh, komponen trojan akan mulai bekerja dengan membuat dirinya tetap aktif melalui Windows Registry. Selanjutnya, trojan ini menggunakan DGA yang telah diperbarui untuk terhubung ke server C2 dan menerima instruksi lebih lanjut.
Grandoreiro mendukung berbagai perintah yang memungkinkan pelaku kejahatan siber mengendalikan sistem korban dari jarak jauh, melakukan operasi file, dan mengaktifkan mode khusus. Salah satu modul baru yang ditambahkan adalah pengumpulan data Microsoft Outlook dan penyalahgunaan akun email korban untuk menyebarkan spam ke target lain.
“Untuk berinteraksi dengan klien Outlook lokal, Grandoreiro menggunakan Outlook Security Manager, sebuah alat yang digunakan untuk mengembangkan add-in Outlook,” jelas para peneliti. “Alasan utama di balik ini adalah karena Outlook Object Model Guard akan memicu peringatan keamanan jika mendeteksi akses pada objek yang dilindungi.”
“Dengan menggunakan klien Outlook lokal untuk spamming, Grandoreiro dapat menyebar melalui kotak masuk korban yang terinfeksi melalui email. Hal ini kemungkinan besar berkontribusi pada banyaknya volume spam yang berasal dari Grandoreiro.”
Tips untuk Tetap Aman:
- Waspadalah terhadap email phishing. Jangan pernah mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal.
- Gunakan perangkat lunak antivirus dan anti-malware yang ternama dan selalu perbarui secara berkala.
- Aktifkan fitur keamanan email Anda, seperti filter spam dan pemindaian attachment.
- Hindari mengunduh file dari sumber yang tidak terpercaya.
- Perbarui sistem operasi dan aplikasi Anda secara teratur.
- Cadangkan data Anda secara teratur.
Dengan kewaspadaan dan langkah pengamanan yang tepat, kita dapat terhindar dari ancaman malware perbankan Grandoreiro dan sejenisnya.