Os responsáveis pelo trojan bancário Grandoreiro, baseado no Windows, voltaram em uma campanha global desde março de 2024, após uma ação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos através de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e Indo-Pacífico, segundo a IBM X-Force. Embora o Grandoreiro seja conhecido principalmente por se concentrar na América Latina, Espanha e Portugal, a expansão provavelmente é uma mudança de estratégia depois de tentativas das autoridades brasileiras de desativar sua infraestrutura. Acompanhando a ampla expansão do alvo, estão melhorias significativas no próprio malware, o que indica desenvolvimento ativo. “A análise do malware revelou grandes atualizações dentro da descriptografia de strings e do algoritmo gerador de domínios (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, afirmaram os pesquisadores de segurança Golo Mühr e Melissa Frydrych. Os ataques começam com e-mails de phishing que instruem os destinatários a clicarem em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza do atrativo e da entidade governamental falsificada nas mensagens. Os usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável do carregador do Grandoreiro. O carregador personalizado é artificialmente inflado para mais de 100 MB para burlar softwares de análise antimalware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente sandbox, coletando dados básicos da vítima para um servidor de comando e controle (C2) e fazendo o download e a execução do principal trojan bancário. Vale ressaltar que a etapa de verificação também é feita para evitar sistemas geolocalizados na Rússia, República Tcheca, Polônia e Países Baixos, bem como máquinas Windows 7 localizadas nos EUA sem antivírus instalado. O componente do trojan inicia sua execução estabelecendo persistência por meio do Registro do Windows, após o que utiliza um DGA retrabalhado para estabelecer conexões com um servidor C2 para receber mais instruções. O Grandoreiro suporta uma variedade de comandos que permitem que os atores de ameaças controlem remotamente o sistema, realizem operações de arquivo e ativem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam para outros alvos. “Para interagir com o cliente local do Outlook, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O motivo principal por trás disso é que a Guarda do Modelo de Objeto do Outlook dispara alertas de segurança se detectar acesso a objetos protegidos.” Usando o cliente local do Outlook para envio de spam, o Grandoreiro pode se espalhar por meio das caixas de entrada de vítimas infectadas via e-mail, o que provavelmente contribui para a grande quantidade de spam observada vinda do Grandoreiro.