Sesuai Nama, Trojan Perbankan Grandoreiro Punya Tujuan Besar-besaran Sesuai Nama, Trojan Perbankan Grandoreiro Punya Tujuan Besar-besaran ~ Teknogav.com

Sesuai Nama, Trojan Perbankan Grandoreiro Punya Tujuan Besar-besaran

Teknogav.com - Kaspersky mengungkap varian ringan Grandoreiro baru pada ajang Security Analyst Summit (SAS) 2024 yang digelar di Bali, Indonesia. Pemaparan ini disampaikan oleh Fabio Assolini, Kepala Pusat Penelitian Amerika Latih, Kaspersky Global Research and Analysis (GReAT). Grandoreiro terus digunakan para mitranya dalam kampanye-kampanye baru, terlepas dari penangkapan operator penting di awal tahun 2024. Temuan tim GReAT mengungkapkan versi ringan baru yang fokus di Meksiko dengan sasaran sekitar 30 bank.

Temuan-temuan GReAT mengenai Grandoreiro ini menjadi sorotan dalam ajang SAS 2024. Grandoreiro tetap menjadi salah satu ancaman paling aktif secara global dengan sasaran lebih dari 1.700 bank. Jumlah varian-varian Grandoreiro mencapai sekitar 5% serangan trojan perbankan tahun ini. Salah satu negara sasaran utama berbagai jenis Grandoreiro, adalah Meksiko termasuk versi ringan baru dengan 51.000 insiden tahun ini.

Baca juga: APAC Cybersecurity Weekend 2024 Bahas Tantangan yang Ditenagai AI

Data Kaspersky menunjukkan bahwa Grandoreiro aktif setidaknya sejak tahun 2016. Trojan ini menggunakan situs web yang dikompromikan dan spear phishing untuk menginfeksi korban dan menggunakan model bisnis malware-as-a-service. Penjahat lain dapat membeli alat serangan ini. Vektor infeksi Grandoreiro adalah email lama dan rekayasa sosial.

Fabio Assolini, Head of Research Center, Amerika Latin, Kaspersky GReAT

"Grandoreiro dapat mencuri kredensial rekening bank dari berbagai macam bank, juga dari fintech dan aset kripto," ucap Fabio.

Sasaran Grandoreiro mencapai lebih dari 1.700 institusi keuangan dan 276 dompet kripto lintas 45 negara dan wilayah. Asia dan Afrika merupakan wilayah tambahan dalam daftar sasarannya, menjadikan trojan ini sebagai ancaman keuangan global sejati. Secara global, trojan perbankan mengalami penurunan, kecuali di Amerika Latin.

Baca juga: Angkat Tema Ruang Angkasa, SAS 2024 Tekankan Pentingnya Keamanan Siber

Kaspersky mendukung tindakan yang dikoordinasi Interpol, sehingga mengarah ke otoritas penangkapan operator di belakang operasi trojan perbankan. Basis kode pemrograman kelompok telah dibagi menjadi versi trojan terfragmentasi yang lebih ringan untuk meneruskan serangannya. Analisis terkini telah menganalisis versi ringan khusus yang digunakan untuk menargetkan sekitar 30 lembaga keuangan. Sepertinya pembuat versi tersebut memiliki akses ke kode sumber dan meluncurkan kampanye baru menggunakan malware kuno yang disederhanakan.

"Seluruh perkembangan terkini menekankan sifat ancaman yang terus berkembang. Versi yang terfragmentasi dan lebih ringan bisa menunjukkan tren yang dapat meluas ke luar Meksiko dan wilayah lain, termasuk di luar Amerika Latin. Namun, kami meyakini bahwa hanya beberapa afiliasi terpercaya yang memiliki akses ke sumber kode malware untuk mengembangkan versi yang lebih ringan tersebut. Grandoreiro beroperasi berbeda dibandingkan model 'Malware-as-a-Service' tradisional yang biasa kami temui. Anda tidak akan menemukan pengumuman pada forum bawah tanah yang menjual paket Grandoreiro. Sebaliknya, akses ke trojan ini nampaknya terbatas," ucap Fabio Assolini. 

Baca juga: Penjahat Siber Eksploitasi Kerentanan Zero-day Chrome untuk Curi Aset Kripto

Beberapa varian Grandoreiro mencakup versi ringan baru dan malware utama mencapai sekitar 5% dari serangan trojan perbankan global yang dideteksi Kaspersky pada tahun 2024. Jumlah ini menjadikan Grandoreiro sebagai salah satu ancaman paling aktif di seluruh dunia. Kaspersky juga menganalisas sampel lebih baru dari Grandoreiro dari tahun 2024 dan mengamati taktik-taktik baru. Trojan ini merekam kegiatan mouse untuk meniru pola pengguna sesungguhnya. Upaya ini dilakukan untuk mengelabui pendeteksinya sistem keamanan berbasis pembelajaran mesin yang menganalisa perilaku. Tujuan malware ini adalah untuk mengelabui alat anti pelanggaran agar kegiatan pergerakan mouse yang alami terlihat sah.

Grandoreiro juga telah menggunakan teknik kriptografi sebagai Ciphertext Stealing (CTS). Kaspersky belum pernah melihat teknik tersebut untuk digunakan dalam malware. Pada kasus ini, teknik kriptografi bertujuan untuk mengenkripsi berbagai kode berbahaya. Internet banking di beberapa negara mengalami penurunan jika dibandingkan dengan penggunaan di desktop. Kini sasaran sasaran ancaman adalah perusahaan, pemerintahan dan entitas yang masih menggunakan desktop. Malware ini juga sudah mulai beralih ke dalam platform mobile, yaitu Ghimob.

"Grandoreiro memiliki struktur yang luas dan kompleks, sehingga mempermudah alat keamanan dalam mendeteksi jika kode tidak di enkripsi. Hal ini dapat menjadi alasan mereka memperkenalkan teknik tersebut, untuk memperumit deteksi dan analisis dari serangan-serangan mereka," tutur Fabio Assolini.

Pemberantasan keluarga malware merupakan hal yang sulit, tetapi dampak pada operasi mereka memungkinkan. Trojan perbankan Brasil telah menjadi ancaman internasional, tetapi mereka hanya mengisi celah yang ditinggalkan kelompok Eropa Timur yang beralih ke ransomware. Lima administrator yang merupakan dalang operasi perbankan Grandoreiro berhasil ditangkap di Brasil pada tahun 2023 dan 2024. Penangkapan tersebut dilakukan oleh Interpol yang didukung Kaspersky melalui aksi yang terkoordinasi. Sebelumnya, penangkapan atas operasi tersebut juga dilakukan di Spanyol pada tahun 2021. Kendati telah dilakukan penangkapan, Trojan Perbankan Granderoiro masih hidup. Kerja sama dengan lembaga penegak hukum (LEA) dan sektor swasta penting untuk berjuang melawan kejahatan siber.

Share:

Artikel Terkini