Evolusi Grandoreiro, Malware Legendaris yang Kembali Beraksi
- Dok. Kaspersky
Jakarta, VIVA – Terlepas dari operator penting yang telah ditangkap pada awal tahun ini, Grandoreiro terus digunakan oleh mitranya dalam berbagai kampanye baru.
Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan versi baru, yang lebih ringan, yang fokus pada Meksiko yang menargetkan 30 bank.
Tetap menjadi salah satu ancaman paling aktif secara global dan menargetkan pengguna lebih dari 1.700 lembaga keuangan serta 276 aset kripto di 45 negara, varian Grandoreiro, yang aktif sejak 2016, menyumbang sekitar lima persen dari serangan trojan perbankan tahun ini.
Meksiko menjadi negara yang paling banyak menjadi target berbagai jenis Grandoreiro, termasuk versi ringan baru ini, yang mencatat 51 ribu insiden di sepanjang 2024.
Setelah membantu tindakan terkoordinasi INTERPOL, yang membantu otoritas Brasil menangkap operator di balik operasi trojan perbankan Grandoreiro, Kaspersky menemukan bahwa basis kode kelompok tersebut telah dipecah menjadi versi trojan yang lebih ringan dan terfragmentasi, untuk melanjutkan serangan trojan.
Analisis terbaru telah mengidentifikasi versi ringan tertentu yang difokuskan pada Meksiko, yang digunakan untuk menargetkan sekitar 30 lembaga keuangan.
Pembuatnya kemungkinan memiliki akses ke kode sumber dan meluncurkan kampanye baru menggunakan malware kuno yang disederhanakan.
Semua perkembangan terkini menggarisbawahi sifat ancaman yang terus berkembang. Versi yang terfragmentasi dan lebih ringan mungkin merupakan tren yang dapat meluas ke luar Meksiko dan ke wilayah lain, termasuk di luar Amerika Latin.
"Grandoreiro beroperasi secara berbeda dari model ‘Malware-as-a-Service’ tradisional yang biasa kita gunakan. Anda tidak akan menemukan pengumuman di forum dark web yang menjual paket Grandoreiro. Justru sebaliknya, akses ke sana tampaknya terbatas,” kata Kepala GReAT Kaspersky untuk Amerika Latin, Fabio Assolini.
Beberapa varian Grandoreiro, termasuk versi ringan baru dan malware utama, menyumbang sekitar lima persen dari serangan trojan perbankan global yang dideteksi oleh Kaspersky pada tahun ini, menjadikannya salah satu ancaman siber paling aktif di seluruh dunia.
Kaspersky juga telah menganalisis sampel Grandoreiro utama yang lebih baru dari 2024, dan mengamati taktik baru.
Trojan ini merekam aktivitas tetikus untuk meniru pola pengguna yang sebenarnya, dengan tujuan untuk menghindari deteksi oleh sistem keamanan berbasis pembelajaran mesin yang menganalisis perilaku.
Dengan memutar ulang gerakan tetikus yang alami, malware tersebut bertujuan untuk mengelabui alat antipenipuan agar melihat aktivitas tersebut sebagai aktivitas yang sah. Grandoreiro telah mengadopsi teknik kriptografi yang dikenal sebagai Ciphertext Stealing (CTS), yang belum pernah dilihat Kaspersky dalam penggunaan malware.
"Teknik ini untuk mengenkripsi rangkaian kode berbahaya. Grandoreiro memiliki struktur yang besar dan kompleks, yang akan memudahkan alat keamanan atau analis untuk mendeteksi jika rangkaiannya tidak dienkripsi. Ini mungkin alasan mereka memperkenalkan teknik baru ini – untuk mempersulit deteksi dan analisis serangan," jelas dia.