Los actores de amenazas responsables del troyano bancario Windows-based Grandoreiro han vuelto en una campaña global desde marzo de 2024 tras un desmantelamiento policial en enero.
Esta serie de ataques de phishing a gran escala, posiblemente facilitados por otros ciberdelincuentes a través de un modelo de malware como servicio (MaaS), apuntan a más de 1,500 bancos en más de 60 países en Centro y Sudamérica, África, Europa y el Indo-Pacífico, según IBM X-Force.
Aunque Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, la expansión probablemente sea un cambio de estrategia después de intentos de cerrar su infraestructura por parte de autoridades brasileñas.
El alcance más amplio va de la mano con mejoras significativas en el propio malware, lo que indica un desarrollo activo.
«El análisis del malware reveló actualizaciones importantes dentro del algoritmo de generación de cadenas y del algoritmo generador de dominios (DGA), así como la capacidad de usar clientes de Microsoft Outlook en hosts infectados para enviar más correos electrónicos de phishing», dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.
Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, según la naturaleza del cebo y la entidad gubernamental suplantada en los mensajes.
Los usuarios que hacen clic en el enlace son redirigidos a una imagen de un ícono de PDF, lo que finalmente lleva a la descarga de un archivo ZIP con el ejecutable del cargador de Grandoreiro.
El cargador personalizado está inflado artificialmente a más de 100 MB para pasar por alto el software de escaneo antivirus. También es responsable de asegurarse de que el host comprometido no se encuentre en un entorno de sandbox, recopila datos básicos de la víctima a un servidor de comando y control (C2) y descarga y ejecuta el troyano bancario principal.
Cabe señalar que el paso de verificación también se realiza para omitir sistemas geolocalizados en Rusia, la República Checa, Polonia y los Países Bajos, así como las máquinas con Windows 7 en EE. UU. sin antivirus instalado.
El componente del troyano comienza su ejecución estableciendo persistencia a través del Registro de Windows, para luego utilizar un DGA reconfigurado para establecer conexiones con un servidor C2 y recibir más instrucciones.
Grandoreiro admite una variedad de comandos que permiten a los actores de amenazas tomar el control remoto del sistema, llevar a cabo operaciones de archivos y habilitar modos especiales, incluido un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima para enviar mensajes no deseados a otros objetivos.
«Para interactuar con el cliente local de Outlook, Grandoreiro utiliza la herramienta Outlook Security Manager, un software utilizado para desarrollar complementos de Outlook», dijeron los investigadores. «La razón principal detrás de esto es que el Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos.»
«Al utilizar el cliente local de Outlook para enviar spam, Grandoreiro puede propagarse a través de bandejas de entrada de víctimas infectadas por correo electrónico, lo que probablemente contribuye a la gran cantidad de correo no deseado observado proveniente de Grandoreiro.»
Vía The Hacker News
