Trojan bancário é reativado
20 de Maio de 2024

Os atores de ameaças por trás do trojan bancário Grandoreiro baseado em Windows retornaram em uma campanha global desde março de 2024, após uma ação de repressão efetuada por forças da lei em janeiro.

Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos via um modelo de malware-as-a-service (MaaS), visam mais de 1.500 bancos ao redor do mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e no Indo-Pacífico, disse o IBM X-Force.

Embora o malware seja conhecido principalmente por seu foco na América Latina, Espanha e Portugal, a expansão é provavelmente uma mudança de estratégia após tentativas de derrubar sua infraestrutura pelas autoridades brasileiras.

Juntamente com a expansão do alvo, há significativas melhorias no próprio vírus, o que indica um desenvolvimento ativo.

"A análise do malware revelou atualizações importantes dentro do algoritmo de decifração de strings e geração de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing," disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych.

Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza do isca e da entidade governamental personificada nas mensagens.

Usuários que acabam clicando no link são redirecionados para uma imagem de ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável do carregador Grandoreiro.
O carregador customizado é artificialmente inflado para mais de 100 MB para contornar o software de varredura antimalware.

Ele também é responsável por garantir que o host comprometido não esteja em um ambiente isolado, coletando dados básicos da vítima para um servidor de comando e controle (C2), e baixando e executando o principal trojan bancário.

Vale destacar que a etapa de verificação também é feita para excluir sistemas geolocalizados na Rússia, Tchéquia, Polônia e Holanda, bem como máquinas Windows 7 baseadas nos EUA sem antivírus instalado.

O componente trojan começa sua execução estabelecendo persistência via Registro do Windows, após o qual emprega um DGA refeito para estabelecer conexões com um servidor C2 para receber mais instruções.

O Grandoreiro suporta uma variedade de comandos que permitem aos atores de ameaças comandar remotamente o sistema, realizar operações de arquivo e habilitar modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para disparar mensagens de spam para outros alvos.

"Para interagir com o cliente Outlook local, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook," disseram os pesquisadores.

A principal razão por trás disso é que o Guarda Modelos de Objetos do Outlook dispara alertas de segurança se detectar acesso em objetos protegidos.

Usando o cliente Outlook local para spam, o trojan pode se espalhar através de caixas de entrada de vítimas infectadas por e-mail, o que provavelmente contribui para o grande volume de spam observado a partir do Grandoreiro.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...