Malware Grandoreiro Serang Perbankan, Meksiko Jadi Target Utama

Meski sejumlah pelaku penting di balik Grandoreiro telah ditangkap pada awal 2024, malware perbankan yang terkenal ini tetap aktif. Sejak lama menjadi ancaman besar di dunia siber, Grandoreiro kembali hadir dengan versi lebih ringan yang kini fokus mengincar perbankan di Meksiko. Tim Peneliti dan Analis Global dari Kaspersky (GReAT) menemukan bahwa malware ini menargetkan sekitar 30 bank di negara tersebut. Hal ini menjadi sorotan dalam Security Analyst Summit (SAS) 2024, di mana varian baru Grandoreiro ini diungkapkan.

Meksiko kini menjadi sasaran utama Grandoreiro, dan tak main-main, tahun ini tercatat 51.000 insiden serangan terkait di negara tersebut. Dalam lingkup yang lebih luas, Grandoreiro telah menargetkan sekitar 1.700 bank secara global dan bertanggung jawab atas sekitar 5% dari total serangan trojan perbankan di tahun 2024.

Setelah Interpol bekerja sama dengan otoritas Brasil menangkap dalang di balik operasi Grandoreiro, tim Kaspersky menemukan bahwa kelompok peretas tersebut kini membagi kode malware mereka menjadi versi yang lebih kecil dan sederhana. Langkah ini tampaknya bertujuan untuk melanjutkan serangan sambil menjaga identitas para pelaku tetap tersembunyi. Analisis lebih lanjut menunjukkan bahwa versi ringan terbaru ini menyasar lembaga keuangan di Meksiko, yang diduga diluncurkan oleh pihak yang memiliki akses langsung ke kode sumber.

Kepala GReAT Amerika Latin di Kaspersky, Fabio Assolini, menjelaskan, “Munculnya versi ringan ini menandakan perubahan strategi, di mana Grandoreiro bisa saja menyebar ke negara lain, bahkan mungkin di luar Amerika Latin. Namun, hanya afiliasi tertentu yang memiliki akses ke kode sumber untuk menciptakan varian yang lebih sederhana.”

Yang menarik, Grandoreiro tidak mengikuti model "Malware-as-a-Service" (MaaS) seperti malware pada umumnya, yang biasanya tersedia di forum-forum dark web. Sebaliknya, akses ke malware ini sangat terbatas, hanya diberikan kepada mitra yang sudah dipercaya. Model distribusi eksklusif ini membuat Grandoreiro tetap sulit dijinakkan oleh pihak keamanan siber.

Seiring berjalannya waktu, malware ini terus berevolusi. Beberapa taktik baru telah diadopsi oleh varian Grandoreiro, termasuk meniru gerakan pengguna. Grandoreiro merekam gerakan tetikus pengguna dan memutar ulang aktivitas itu untuk menghindari deteksi oleh sistem keamanan yang menggunakan pembelajaran mesin. Dengan cara ini, malware bisa menyamarkan dirinya sebagai aktivitas yang wajar dan tidak mencurigakan.

Selain itu, Grandoreiro kini menggunakan teknik Ciphertext Stealing (CTS) dalam proses enkripsi—strategi yang belum pernah terlihat sebelumnya pada malware lain yang sejenis. Teknik ini dirancang untuk mengacak kode berbahaya sehingga lebih sulit dideteksi oleh perangkat keamanan. Fabio Assolini menambahkan bahwa kompleksitas struktur Grandoreiro membuatnya lebih mudah dideteksi oleh alat keamanan jika tidak dienkripsi, sehingga teknik baru ini diharapkan dapat membuat malware ini semakin sulit dianalisis dan dilacak.

Sejak pertama kali aktif pada 2016, Grandoreiro telah menjadi ancaman serius dalam dunia siber. Di tahun 2024, malware ini berhasil menargetkan lebih dari 1.700 lembaga keuangan, serta 276 aset kripto di 45 negara, termasuk wilayah Asia dan Afrika yang kini juga menjadi sasaran. Jumlah target ini menjadikan Grandoreiro salah satu ancaman perbankan terbesar di dunia.

Dalam beberapa bulan terakhir, Grandoreiro juga berkembang dengan cepat seiring peningkatan transaksi digital di sektor perbankan. Dengan terus mengembangkan teknik penyamaran dan kriptografi yang canggih, kelompok di balik Grandoreiro tampaknya akan terus mengincar institusi keuangan, tidak hanya di Amerika Latin tetapi juga di seluruh dunia.

Kesimpulannya, Grandoreiro adalah ancaman siber yang tidak bisa dianggap remeh. Dengan varian yang lebih ringan namun tetap berbahaya, serta teknik penyamaran yang canggih, Malware ini kemungkinan akan tetap menjadi ancaman serius bagi sektor perbankan global selama beberapa tahun ke depan.