西班牙內政部較早前宣佈,拘捕16人與Grandoreiro和Melcoz (又名Mekotio)網絡犯罪集團有關,兩個集團都屬於巴西銀行木馬組織Tetrade之下,幾年間活躍於拉丁美洲和西歐地區。
Grandoreiro
Grandoreiro是一個銀行木馬惡意程式家族,開始運作於巴西,與其他兩個家族Melcoz和Javali相似。Grandoreiro首先伸延運作至其他拉丁美洲國家,然後去到西歐,Kaspersky在2016年首次發現Grandoreiro的活動,攻擊者持續改良技術,務求逃避偵測以維持長時間活躍,根據活動的分析,Grandoreiro以惡意程式租用服務(Malware-as-a-Service, MaaS)方式運作。
自2020年1月,數據顯示Grandoreiro主要攻擊地區為巴西、墨西哥、西班牙、葡萄牙和土耳其。
Melcoz (又名Mekotio)
另一方面,Melcoz (又名Mekotio)是由Tetrade組織開發的銀行木馬家族,自2018年開始在巴西活動,同年在智利找到他們的攻擊痕跡,最近則在墨西哥發現他們的蹤影,有部份身處其他國家的受害者使用了被針對銀行的國際運作。此惡意程式使用Autolt或VBS腳本,加入MSI檔案,以DLL-Hijack技術執行惡意的DLL,目的是繞過防護方案的偵測。該惡意程式會從瀏覽器和裝置的記憶體盜取密碼,提供遙距存取以收集網上銀行的存取,並同時包括了盜取Bitcoin銀包的模組。
Kaspersky的數據顯示,自2020年1月Melcoz積極攻擊巴西、智利、西班牙和其他國家的目標。
Grandoreiro更積極攻擊全球目標
比較Grandoreiro和Melcoz的擴散程度,明顯前者更積極地攻擊全球受害者。而估計在西班牙被捕的16人,只屬於惡意程式組織的駐當地操作員,巴西才是真正的根據地,這意味著事件無阻Grandoreiro和Melcoz在巴西開發新惡意程式技術,甚至在其他國家招攬新成員。
Kaspersky的產品偵測以上兩個銀行木馬家族為Trojan-Banker.Win32.Grandoreiro和Trojan-Banker.Win32.Melcoz。
資料來源:Securelist
