Các tác nhân đe dọa đằng sau trojan ngân hàng Grandoreiro dựa trên Windows đã trở lại trong một chiến dịch toàn cầu kể từ tháng 3/2024 sau khi cơ quan thực thi pháp luật gỡ xuống vào tháng 1.
Các cuộc tấn công lừa đảo quy mô lớn, có khả năng được tạo điều kiện bởi các tội phạm mạng khác thông qua mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS), nhắm vào hơn 1.500 ngân hàng trên toàn thế giới, trải dài hơn 60 quốc gia ở Trung và Nam Mỹ, Châu Phi, Châu Âu và Ấn Độ Dương-Thái Bình Dương, IBM X-Force cho biết.
Trong khi Grandoreiro được biết đến chủ yếu tập trung ở Mỹ Latinh, Tây Ban Nha và Bồ Đào Nha, việc mở rộng có thể là một sự thay đổi trong chiến lược sau những nỗ lực đóng cửa cơ sở hạ tầng của chính quyền Brazil.
Đi đôi với dấu chân nhắm mục tiêu rộng hơn là những cải tiến đáng kể cho chính phần mềm độc hại, điều này cho thấy sự phát triển tích cực.
Các cuộc tấn công bắt đầu với các email lừa đảo hướng dẫn người nhận nhấp vào liên kết để xem hóa đơn hoặc thanh toán tùy thuộc vào bản chất của mồi nhử và thực thể chính phủ bị mạo danh trong tin nhắn.
Người dùng cuối cùng nhấp vào liên kết được chuyển hướng đến hình ảnh của biểu tượng PDF, cuối cùng dẫn đến việc tải xuống kho lưu trữ ZIP với tệp thực thi trình tải Grandoreiro.
Trình tải tùy chỉnh được thổi phồng giả tạo lên hơn 100 MB để vượt qua phần mềm quét chống phần mềm độc hại. Nó cũng chịu trách nhiệm đảm bảo rằng máy chủ bị xâm nhập không ở trong môi trường hộp cát, thu thập dữ liệu nạn nhân cơ bản đến máy chủ chỉ huy và kiểm soát (C2), tải xuống và thực thi trojan ngân hàng chính.
Cần chỉ ra rằng bước xác minh cũng được thực hiện để bỏ qua các hệ thống được định vị địa lý đến Nga, Séc, Ba Lan và Hà Lan, cũng như các máy Windows 7 có trụ sở tại Hoa Kỳ mà không cài đặt phần mềm chống vi-rút.
Thành phần trojan bắt đầu thực thi bằng cách thiết lập sự bền bỉ thông qua Windows Registry, sau đó nó sử dụng DGA được làm lại để thiết lập kết nối với máy chủ C2 để nhận thêm hướng dẫn.
Grandoreiro hỗ trợ nhiều lệnh khác nhau cho phép các tác nhân đe dọa chỉ huy hệ thống từ xa, thực hiện các hoạt động tệp và bật các chế độ đặc biệt, bao gồm một mô-đun mới thu thập dữ liệu Microsoft Outlook và lạm dụng tài khoản email của nạn nhân để gửi thư rác đến các mục tiêu khác.
Bằng cách sử dụng ứng dụng khách Outlook cục bộ để gửi thư rác, Grandoreiro có thể lây lan qua hộp thư đến của nạn nhân bị nhiễm qua email, điều này có thể góp phần vào lượng lớn thư rác được quan sát từ Grandoreiro.