Grandoreiro Banking Trojan Resurfaces, Mirando Mais de 1.500 Bancos em Todo o Mundo – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Os responsáveis pelo banco de trojan Grandoreiro baseado em Windows retornaram em uma campanha global desde março de 2024, após uma operação policial em janeiro.

Os ataques de phishing em grande escala, provavelmente facilitados por outros cibercriminosos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e Indo-Pacífico, disse a IBM X-Force.

Embora o Grandoreiro seja conhecido principalmente por seu foco na América Latina, Espanha e Portugal, a expansão é provavelmente uma mudança de estratégia após tentativas de desativar sua infraestrutura pelas autoridades brasileiras.

Em conjunto com a ampla área de destino, existem melhorias significativas no próprio malware, o que indica um desenvolvimento ativo.

“Análises do malware revelaram grandes atualizações na decodificação de strings e no algoritmo de geração de domínio (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych.

Os ataques começam com e-mails de phishing que instruem os destinatários a clicarem em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza da isca e da entidade governamental impersonada nas mensagens.

Os usuários que acabam clicando no link são redirecionados para uma imagem de um ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável carregador do Grandoreiro.

O carregador personalizado é artificialmente inflado para mais de 100 MB para contornar software de verificação de malware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente de sandbox, coletando dados básicos da vítima para um servidor de comando e controle (C2) e baixando e executando o principal banco de trojan.

Vale ressaltar que a etapa de verificação também é feita para pular sistemas geolocalizados na Rússia, República Tcheca, Polônia e Holanda, assim como máquinas Windows 7 baseadas nos EUA sem antivírus instalado.

O componente trojan inicia sua execução estabelecendo persistência por meio do Registro do Windows, após o qual ele utiliza um DGA retrabalhado para estabelecer conexões com um servidor C2 para receber mais instruções.

O Grandoreiro suporta uma variedade de comandos que permitem aos responsáveis controlar remotamente o sistema, realizar operações de arquivo e habilitar modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam para outros alvos.

“Para interagir com o cliente local do Outlook, o Grandoreiro usa a ferramenta de gerenciamento de segurança do Outlook, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O principal motivo por trás disso é que o Guarda de Modelo de Objeto do Outlook aciona alertas de segurança se detectar acesso em objetos protegidos.”

Ao usar o cliente local do Outlook para enviar spam, o Grandoreiro pode se espalhar através de caixas de entrada de vítimas infectadas por e-mail, o que provavelmente contribui para a grande quantidade de volume de spam observado do Grandoreiro.

Você também pode gostar

Okta Alerta Sobre Ataques de Preenchimento de Credenciais Direcionados à Nuvem de Identidade do Cliente

Suas Cópias de Segurança de SaaS são tão Seguras quanto seus Dados de Produção?

A Grave Vulnerabilidade de Segurança (CVE-2024-4701, CVSS 9.9) Dá a Atacantes Remotos uma Forma de se Infiltrar na Plataforma de Código Aberto Genie da Netflix, que é um Baú de Tesouros de Informações e Conexões com Outros Serviços Internos.