Você está visualizando atualmente Grandoreiro Banking Trojan ressurge, visando mais de 1.500 bancos em todo o mundo

Grandoreiro Banking Trojan ressurge, visando mais de 1.500 bancos em todo o mundo

Os agentes de ameaças por trás do Trojan bancário Grandoreiro, baseado no Windows, retornaram em uma campanha global desde março de 2024, após uma intervenção policial em janeiro.

Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e no Indo-Pacífico, disse a IBM X-Force.

Enquanto o Grandoreiro é conhecido principalmente por sua concentração na América Latina, Espanha e Portugal, a expansão provavelmente é uma mudança de estratégia após as tentativas de fechar sua infraestrutura pelas autoridades brasileiras.

Indo de mãos dadas com o alcance mais amplo do alvo estão melhorias significativas no próprio malware, o que indica desenvolvimento ativo.

“A análise do malware revelou grandes atualizações dentro da descriptografia de string e algoritmo de geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar ainda mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych.

Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza do chamariz e da entidade governamental que é personificada nas mensagens.

Os usuários que acabam clicando no link são redirecionados para uma imagem de um ícone de PDF, levando, em última análise, ao download de um arquivo ZIP com o executável do carregador Grandoreiro.

O carregador personalizado é artificialmente inflado para mais de 100 MB para contornar o software de verificação anti-malware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente isolado, reunindo dados básicos da vítima para um servidor de comando e controle (C2) e baixando e executando o principal Trojan bancário.

Vale ressaltar que a etapa de verificação também é feita para pular sistemas geolocalizados na Rússia, República Tcheca, Polônia e Holanda, bem como máquinas com Windows 7 baseadas nos EUA sem antivírus instalado.

O componente trojan começa sua execução estabelecendo persistência via Registro do Windows, após o que usa uma DGA retrabalhada para estabelecer conexões com um servidor C2 para receber mais instruções.

O Grandoreiro suporta uma variedade de comandos que permitem que os agentes de ameaças assumam remotamente o sistema, realizem operações de arquivo e habilitem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam para outros alvos.

“Para interagir com o cliente local do Outlook, o Grandoreiro usa a ferramenta de segurança do Outlook, um software usado para desenvolver complementos do Outlook,” disseram os pesquisadores. “A principal razão para isso é que o Outlook Object Model Guard aciona alertas de segurança se detectar acesso a objetos protegidos.”

Ao usar o cliente local do Outlook para enviar spam, o Grandoreiro pode se espalhar por meio de caixas de entrada de vítimas infectadas via e-mail, o que provavelmente contribui para a grande quantidade de volume de spam observado do Grandoreiro.