Grandoreiro Malware Perbankan Global yang Mengincar Lembaga Keuangan di Meksiko

BeritaNasional.com -  Meskipun salah satu operator utamanya ditangkap pada awal tahun 2024, malware Grandoreiro tetap aktif dan digunakan oleh mitranya dalam berbagai kampanye baru.

Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan varian lebih ringan dari Grandoreiro yang khusus menargetkan sekitar 30 bank di Meksiko. Temuan ini menjadi sorotan utama dalam Security Analyst Summit (SAS) 2024.

Dengan lebih dari 1.700 bank diincar, Grandoreiro menyumbang sekitar lima persen dari serangan trojan perbankan global tahun ini. Meksiko, dalam hal ini, menjadi salah satu negara dengan tingkat serangan tertinggi, mencatat lebih dari 51.000 insiden di tahun 2024.

Setelah kerja sama yang berhasil dengan INTERPOL, yang membantu pihak berwenang Brasil menangkap operator Grandoreiro, Kaspersky mengamati bahwa kelompok ini telah mengembangkan versi trojan yang lebih ringan dan terfragmentasi.

Varian baru ini memanfaatkan malware yang lebih sederhana untuk melanjutkan serangan, dengan fokus pada lembaga keuangan di Meksiko.

“Perkembangan terbaru menunjukkan evolusi ancaman ini. Versi terfragmentasi dan lebih ringan dapat menyebar ke wilayah lain, termasuk di luar Amerika Latin. Namun, akses ke kode sumber malware tampaknya terbatas pada beberapa afiliasi tepercaya. Grandoreiro beroperasi berbeda dari model tradisional 'Malware-as-a-Service'. Anda tidak akan menemukan iklan penjualan di forum dark web, melainkan akses yang sangat terbatas,” kata Fabio Assolini, kepala GReAT Amerika Latin di Kaspersky.

Beberapa varian Grandoreiro, termasuk versi ringan dan malware utama, terus berkontribusi pada lima persen serangan trojan perbankan yang terdeteksi oleh Kaspersky tahun ini. Analisis terbaru juga menunjukkan bahwa varian ini mulai merekam gerakan mouse pengguna untuk meniru aktivitas asli, guna menghindari deteksi sistem keamanan yang berbasis pembelajaran mesin.

Tak hanya itu, Grandoreiro telah mengadopsi teknik kriptografi inovatif yang dikenal sebagai Ciphertext Stealing (CTS). Teknik ini bertujuan untuk mengenkripsi kode berbahaya, sehingga menyulitkan deteksi oleh alat keamanan dan analis.

“Struktur kompleks Grandoreiro memudahkan deteksi jika rangkaian kodenya tidak dienkripsi. Penggunaan teknik baru ini mungkin bertujuan untuk mengaburkan analisis serangan mereka,” tambah Fabio Assolini.

Sejak pertama kali muncul pada 2016, Grandoreiro telah menargetkan lebih dari 1.700 lembaga keuangan dan 276 aset kripto di 45 negara, termasuk penambahan target di Asia dan Afrika pada 2024.