Os atores de ameaça por trás do banco de dados troiano baseado no Windows Grandoreiro retornaram em uma campanha global desde março de 2024, seguindo uma ação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, na África, na Europa e no Indo-Pacífico, disse o IBM X-Force. Enquanto o Grandoreiro é conhecido principalmente por sua atuação na América Latina, Espanha e Portugal, a expansão é provavelmente uma mudança de estratégia após tentativas de fechar sua infraestrutura pelas autoridades brasileiras. A par com a ampla abrangência de alvos, há melhorias significativas no próprio malware, o que indica desenvolvimento ativo. “A análise do malware revelou grandes atualizações dentro da descriptografia de strings e algoritmo de geração de domínios (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych. Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza da isca e da entidade governamental falsificada nas mensagens. Os usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável do carregador Grandoreiro. O carregador personalizado é inflado artificialmente para mais de 100 MB para contornar o software de varredura antimalware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente sandboxed, coletar dados básicos da vítima para um servidor de comando e controle (C2) e baixar e executar o principal troiano bancário. Vale ressaltar que a etapa de verificação também é feita para ignorar sistemas geolocalizados na Rússia, Tchéquia, Polônia e nos Países Baixos, bem como máquinas com Windows 7 baseadas nos EUA sem antivírus instalado. O componente troiano começa sua execução estabelecendo persistência por meio do Registro do Windows, após o que usa um DGA reestruturado para estabelecer conexões com um servidor de C2 para receber mais instruções. O Grandoreiro suporta uma variedade de comandos que permitem que os atores de ameaça comandem remotamente o sistema, realizem operações de arquivos e ativem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam para outros alvos. “Para interagir com o cliente local do Outlook, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O principal motivo para isso é que o Guarda do Modelo de Objetos do Outlook aciona alertas de segurança se detectar acesso a objetos protegidos.” Ao usar o cliente local do Outlook para enviar spam, o Grandoreiro pode se espalhar através das caixas de entrada de vítimas infectadas via e-mail, o que provavelmente contribui para a grande quantidade de volume de spam observada a partir do Grandoreiro.