JAKARTA (IndoTelko) - Terlepas dari operator penting yang telah ditangkap pada awal tahun 2024, Grandoreiro terus digunakan oleh mitranya dalam berbagai kampanye baru. Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan versi baru (versi lebih ringan) yang memfokuskan pada negara Meksiko yang menargetkan sekitar 30 bank.
Temuan ini menjadi bahasan utama di Security Analyst Summit (SAS) 2024. Tetap menjadi salah satu ancaman paling aktif secara global dan menargetkan pengguna lebih dari 1.700 bank, varian Grandoreiro menyumbang sekitar lima persen dari serangan trojan perbankan tahun ini. Meksiko adalah salah satu negara yang paling banyak menjadi target berbagai jenis Grandoreiro, termasuk versi ringan baru ini, yang mencatat 51.000 insiden tahun 2024.
Setelah membantu tindakan terkoordinasi INTERPOL, yang membantu otoritas Brasil menangkap operator di balik operasi trojan perbankan Grandoreiro, Kaspersky menemukan bahwa basis kode kelompok tersebut telah dipecah menjadi versi trojan yang lebih ringan dan terfragmentasi, untuk melanjutkan serangannya. Analisis terbaru telah mengidentifikasi versi ringan tertentu yang difokuskan pada Meksiko, yang digunakan untuk menargetkan sekitar 30 lembaga keuangan. Pembuatnya kemungkinan memiliki akses ke kode sumber dan meluncurkan kampanye baru menggunakan malware kuno yang disederhanakan.
Diungkapkan Kepala GReAT Amerika Latin di Kaspersky, Fabio Assolini, semua perkembangan terkini menggarisbawahi sifat ancaman yang terus berkembang. Versi yang terfragmentasi dan lebih ringan mungkin merupakan tren yang dapat meluas ke luar Meksiko dan ke wilayah lain, termasuk di luar Amerika Latin.
“Kami yakin bahwa hanya beberapa afiliasi tepercaya yang memiliki akses ke kode sumber malware untuk mengembangkan versi yang lebih ringan tersebut. Grandoreiro beroperasi secara berbeda dari model ‘Malware-as-a-Service’ tradisional yang biasa kita gunakan. Anda tidak akan menemukan pengumuman di forum dark web yang menjual paket Grandoreiro; justru sebaliknya, akses ke sana tampaknya terbatas,” jelasnya.
Beberapa varian Grandoreiro, termasuk versi ringan baru dan malware utama, menyumbang sekitar lima persen dari serangan trojan perbankan global yang dideteksi oleh Kaspersky pada tahun 2024, menjadikannya salah satu ancaman paling aktif di seluruh dunia. Kaspersky juga telah menganalisis sampel Grandoreiro utama yang lebih baru dari tahun 2024, dan mengamati taktik baru. Ia merekam aktivitas tetikus untuk meniru pola pengguna yang sebenarnya, dengan tujuan untuk menghindari deteksi oleh sistem keamanan berbasis pembelajaran mesin yang menganalisis perilaku. Dengan memutar ulang gerakan tetikus yang alami, malware tersebut bertujuan untuk mengelabui alat antipenipuan agar melihat aktivitas tersebut sebagai aktivitas yang sah.
Grandoreiro telah mengadopsi teknik kriptografi yang dikenal sebagai Ciphertext Stealing (CTS), yang belum pernah dilihat Kaspersky dalam penggunaan malware. Dalam kasus ini, tujuannya adalah untuk mengenkripsi rangkaian kode berbahaya.
Assolini menambahkan, Grandoreiro memiliki struktur yang besar dan kompleks, yang akan memudahkan alat keamanan atau analis untuk mendeteksi jika rangkaiannya tidak dienkripsi. “Ini mungkin alasan mereka memperkenalkan teknik baru ini untuk mempersulit deteksi dan analisis serangan mereka,” katanya.
Data Kaspersky menunjukkan Grandoreiro telah aktif sejak 2016. Pada tahun 2024, ancaman tersebut menargetkan lebih dari 1.700 lembaga keuangan dan 276 aset kripto di 45 negara dan wilayah, dan terakhir menambahkan Asia dan Afrika ke dalam daftar targetnya, menjadikannya ancaman finansial global yang sesungguhnya. (mas)