Os responsáveis pelo trojan bancário Grandoreiro, baseado no Windows, retornaram em uma campanha global desde março de 2024, após uma operação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central, América do Sul, África, Europa e Indo-Pacífico, de acordo com a IBM X-Force. Embora o Grandoreiro seja conhecido principalmente por seu foco na América Latina, Espanha e Portugal, a expansão provavelmente é uma mudança de estratégia após tentativas de fechar sua infraestrutura pelas autoridades brasileiras. Em conjunto com a ampla pegada de alvos, ocorreram melhorias significativas no próprio malware, o que indica um desenvolvimento ativo. “A análise do malware revelou grandes atualizações no algoritmo de descriptografia de strings e na geração de domínios (DGA), bem como na capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais emails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych. Os ataques começam com emails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza do atrativo e da entidade governamental personificada nas mensagens. Os usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável do carregador Grandoreiro. O carregador personalizado é artificialmente inflado para mais de 100 MB para burlar softwares de verificação anti-malware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente de sandbox, reunir dados básicos da vítima para um servidor de comando e controle (C2) e baixar e executar o principal trojan bancário. Também vale ressaltar que a etapa de verificação é feita para pular sistemas geolocalizados na Rússia, República Tcheca, Polônia e Holanda, bem como em máquinas Windows 7 nos EUA sem antivírus instalado. O componente trojan inicia sua execução estabelecendo persistência no Registro do Windows, após o que ele emprega um DGA reformulado para estabelecer conexões com um servidor C2 para receber mais instruções. O Grandoreiro suporta uma variedade de comandos que permitem que os responsáveis pelo ataque controlem remotamente o sistema, realizem operações de arquivos e habilitem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de email da vítima para enviar mensagens de spam a outros alvos. “Para interagir com o cliente Outlook local, o Grandoreiro utiliza a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O principal motivo para isso é que o Outlook Object Model Guard dispara alertas de segurança se detectar acesso a objetos protegidos.” Ao usar o cliente Outlook local para enviar spam, o Grandoreiro pode se espalhar por meio de caixas de entrada de vítimas infectadas por email, o que provavelmente contribui para a grande quantidade de spam observada proveniente do Grandoreiro.