Aktéři stojící za bankovním trojanem Grandoreiro pro Windows se vrátili v globální kampani od března 2024 po zásahu orgánů činných v trestním řízení v lednu.

Velkoplošné phishingové útoky, pravděpodobně usnadněné jinými kyberzločinci prostřednictvím modelu malware-as-a-service (MaaS), cílí na více než 1 500 bank po celém světě, pokrývající více než 60 zemí ve Střední a Jižní Americe, Africe, Evropě a Indo-Pacifiku, uvedla IBM X-Force.

Zatímco Grandoreiro je známý především svým zaměřením na Latinskou Ameriku, Španělsko a Portugalsko, expanze je pravděpodobně posunem ve strategii po pokusech o vypnutí jeho infrastruktury brazilskými úřady.

Spolu s širším cílovým záběrem přicházejí významná vylepšení samotného malwaru, což naznačuje aktivní vývoj.

„Analýza malwaru odhalila významné aktualizace v rámci dešifrování řetězců a algoritmu generování domén (DGA), stejně jako schopnost používat klienty Microsoft Outlook na infikovaných hostitelích k šíření dalších phishingových e-mailů,“ uvedli bezpečnostní výzkumníci Golo Mühr a Melissa Frydrych.

Útoky začínají phishingovými e-maily, které příjemce instruují, aby klikli na odkaz pro zobrazení faktury nebo provedení platby v závislosti na povaze návnady a vládní entitě, kterou zprávy napodobují.

Uživatelé, kteří kliknou na odkaz, jsou přesměrováni na obrázek ikony PDF, což nakonec vede ke stažení ZIP archivu s Grandoreiro loaderem.

Vlastní loader je uměle nafouknut na více než 100 MB, aby obešel software pro skenování proti malwaru. Je také zodpovědný za zajištění, že kompromitovaný hostitel není v sandboxovaném prostředí, shromažďování základních údajů o oběti na server příkazů a řízení (C2) a stahování a spouštění hlavního bankovního trojanu.

Stojí za zmínku, že ověřovací krok je také prováděn, aby se přeskočily systémy geolokované do Ruska, Česka, Polska a Nizozemska, stejně jako stroje s Windows 7 v USA bez nainstalovaného antiviru.

Komponenta trojanu začíná svou činnost vytvořením perzistence prostřednictvím registru Windows, po čemž používá přepracovaný DGA k navázání spojení se serverem C2 pro přijímání dalších instrukcí.

Grandoreiro podporuje různé příkazy, které umožňují aktérům vzdáleně ovládat systém, provádět operace se soubory a povolit speciální režimy, včetně nového modulu, který shromažďuje data z Microsoft Outlook a zneužívá e-mailový účet oběti k rozesílání spamových zpráv dalším cílům.

Zdroj: thehackernews.com