В Латинской Америке развернулась новая фишинговая кампания, в которой знаменитый банковский троян Grandoreiro доказал, что злоумышленники тоже могут быть «расовыми».
Новый трюк вредоноса заключается в географической фильтрации: программа сначала проверяет ваш IP-адрес, и если вы не находитесь в целевом регионе, то атака просто не начинается. Таким образом, Grandoreiro избегает глобальных систем мониторинга, делая себя неуловимым и точечным оружием.
Все начинается с фишингового письма, в котором пользователю предлагают скачать якобы безопасный PDF-документ. Однако за этим невинным прикрытием скрывается архив с вредоносным кодом, который, после запуска, начинает проверку на географическую принадлежность. Если местоположение совпадает с Латинской Америкой, вредонос связывается с сервером и продолжает свою работу. В противном случае он просто «выключается», оставляя жертву в покое.
Однако эта хитрость — лишь верхушка айсберга. Вредонос обходит защиту на уровне DNS, отправляя запросы к стороннему сервису, что позволяет ему избегать блокировок, установленных стандартными фильтрами. Дальше все действия Grandoreiro становятся ещё более зловещими: он удаляет следы, собирает конфиденциальные данные и передает их на серверы злоумышленников, всё это с использованием сложных техник сокрытия и разведки.
Для эффективной защиты от подобных угроз важнейшими инструментами становятся поведенческий анализ и внимательное отслеживание подозрительных действий. В мире киберугроз просто «напрямую» уже не работает — нужно искать скрытые улики, прежде чем атака достигнет своей цели.
