Os atores de ameaças por trás do Home windows Grandoreiro O trojan bancário voltou em uma campanha world desde março de 2024, após uma derrubada das autoridades em janeiro.
Os ataques de phishing em grande escala, provavelmente facilitados por outros cibercriminosos através de um modelo de malware como serviço (MaaS), têm como alvo mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e o Indo-Pacífico, disse IBM X-Power.
Embora Grandoreiro seja conhecido principalmente pelo seu foco na América Latina, Espanha e Portugal, a expansão é provavelmente uma mudança de estratégia após tentativas de encerramento da sua infra-estrutura por parte das autoridades brasileiras.
Andando de mãos dadas com uma pegada de segmentação mais ampla estão melhorias significativas no próprio malware, o que indica um desenvolvimento ativo.
“A análise do malware revelou grandes atualizações no algoritmo de descriptografia de strings e geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych.
Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um hyperlink para visualizar uma fatura ou efetuar um pagamento, dependendo da natureza da isca e da entidade governamental representada nas mensagens.
Os usuários que clicam no hyperlink são redirecionados para a imagem de um ícone em PDF, levando ao obtain de um arquivo ZIP com o executável do carregador Grandoreiro.
O carregador personalizado é aumentado artificialmente para mais de 100 MB para ignorar o software program de verificação antimalware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente de área restrita, coletando dados básicos da vítima em um servidor de comando e controle (C2) e baixando e executando o trojan bancário principal.
Vale ressaltar que a etapa de verificação também é feita para ignorar sistemas geolocalizados na Rússia, Tcheca, Polônia e Holanda, bem como máquinas com Home windows 7 baseadas nos EUA sem antivírus instalado.
O componente trojan inicia sua execução estabelecendo persistência por meio do Registro do Home windows, após o qual emprega um DGA reformulado para estabelecer conexões com um servidor C2 para receber instruções adicionais.
Grandoreiro suporta uma variedade de comandos que permitem aos agentes da ameaça comandar remotamente o sistema, realizar operações de ficheiros e ativar modos especiais, incluindo um novo módulo que recolhe dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam para outros alvos.
“Para interagir com o cliente Outlook native, Grandoreiro utiliza a ferramenta Outlook Safety Supervisor, um software program usado para desenvolver suplementos do Outlook”, disseram os pesquisadores. “A principal razão por trás disso é que o Outlook Object Mannequin Guard aciona alertas de segurança se detectar acesso a objetos protegidos.”
“Ao usar o cliente Outlook native para spam, o Grandoreiro pode se espalhar através das caixas de entrada das vítimas infectadas through e-mail, o que provavelmente contribui para o grande quantity de spam observado no Grandoreiro.”
