Os criminosos por trás do trojan bancário Windows-based Grandoreiro voltaram em uma campanha global desde março de 2024, após uma ação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e Indo-Pacífico, disse a IBM X-Force. Enquanto o Grandoreiro é conhecido principalmente por seu foco na América Latina, Espanha e Portugal, a expansão é provavelmente uma mudança de estratégia após tentativas de fechar sua infraestrutura pelas autoridades brasileiras. Acompanhando a ampla mira alvo, estão melhorias significativas no malware em si, o que indica desenvolvimento ativo. “A análise do malware revelou grandes atualizações dentro da descriptografia de strings e algoritmo gerador de domínio (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych. Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para ver uma fatura ou fazer um pagamento, dependendo da natureza da isca e da entidade governamental que está sendo imitada nas mensagens. Usuários que acabam clicando no link são redirecionados para uma imagem de um ícone de PDF, levando a partir daí ao download de um arquivo ZIP com o executável do loader Grandoreiro. O loader personalizado é artificialmente inflado para mais de 100 MB para burlar softwares de varredura antimalware. Também é responsável por garantir que o host comprometido não esteja em um ambiente sandbox, coletando dados básicos da vítima para um servidor de comando e controle (C2) e baixando e executando o principal trojan bancário. É importante ressaltar que a etapa de verificação também é feita para pular sistemas geolocalizados na Rússia, República Tcheca, Polônia e nos Países Baixos, bem como máquinas Windows 7 baseadas nos EUA sem antivírus instalados. O trojan começa sua execução estabelecendo persistência por meio do Registro do Windows, após o que utiliza um DGA reformulado para estabelecer conexões com um servidor C2 para receber mais instruções. O Grandoreiro suporta uma variedade de comandos que permitem que os criminosos operem remotamente o sistema, realizem operações de arquivos e habilitem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para disparar mensagens de spam para outros alvos. “Para interagir com o cliente local do Outlook, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O principal motivo disso é que o Guarda de Modelo de Objeto do Outlook dispara alertas de segurança se detectar acesso em objetos protegidos.” ESET, em uma série de posts compartilhados no X (anteriormente Twitter) em 28 de maio de 2024, observou que o “Grandoreiro interrompido é diferente da cepa ativa atual do Grandoreiro”, dando-lhe o apelido de NewGrandoreiro. A nova bifurcação é dita ter estado ativa desde pelo menos dezembro de 2023, embora atualmente não esteja claro se é operada pelo mesmo grupo. “É uma grande revisão do antigamente estabelecido Grandoreiro”, disse a empresa eslovaca de cibersegurança. “E, o mais importante, apareceu *antes* da interrupção.” “‘NewGrandoreiro’ emprega um novo downloader personalizado, um algoritmo DGA completamente reformulado e tem uma base de código significativamente modificada. Usa um preenchimento binário ligeiramente diferente. Embora a lógica dos comandos tenha mudado, o protocolo [de comando e controle] permaneceu o mesmo.”