Os criminosos por trás do Trojan bancário Grandoreiro baseado em Windows retornaram em uma campanha global desde março de 2024, após uma operação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países nas Américas Central e do Sul, África, Europa e Indo-Pacífico, disse a IBM X-Force. Embora o Grandoreiro seja conhecido principalmente por sua atuação na América Latina, Espanha e Portugal, a expansão provavelmente é uma mudança de estratégia após tentativas de fechar sua infraestrutura por autoridades brasileiras. Acompanhando a ampliação do alcance de ataque estão melhorias significativas no próprio malware, o que indica desenvolvimento ativo. “A análise do malware revelou grandes atualizações no processo de descriptografia de strings e no algoritmo de geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing,” disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych. Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza e da entidade governamental falsificada nas mensagens. Os usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando posteriormente ao download de um arquivo ZIP com o executável do carregador de Grandoreiro. O carregador personalizado é artificialmente inflado para mais de 100 MB para burlar o software de verificação de antivírus. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente de sandbox, reunir dados básicos da vítima para um servidor de comando e controle (C2) e baixar e executar o principal Trojan bancário. Cabe ressaltar que a etapa de verificação também é feita para ignorar sistemas geolocalizados na Rússia, República Checa, Polônia e Holanda, bem como máquinas com Windows 7 baseadas nos EUA sem antivírus instalados. O componente Trojan inicia sua execução estabelecendo persistência por meio do Registro do Windows, após o que ele usa um DGA reconfigurado para estabelecer conexões com um servidor C2 para receber mais instruções. O Grandoreiro suporta uma variedade de comandos que permitem aos criminosos comandar remotamente o sistema, realizar operações de arquivo e ativar modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam a outros alvos. “Para interagir com o cliente Outlook local, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook. O principal motivo por trás disso é que o Outlook Object Model Guard aciona alertas de segurança se detectar acesso a objetos protegidos,” disseram os pesquisadores. “Ao usar o cliente Outlook local para enviar spam, o Grandoreiro pode se espalhar através das caixas de entrada de vítimas infectadas por e-mail, o que provavelmente contribui para a grande quantidade de volume de spam observado do Grandoreiro.” Se achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.