Los actores de amenazas detrás del troyano bancario Grandoreiro, basado en Windows, han regresado en una campaña global desde marzo de 2024, después de una intervención de las autoridades en enero.
Los ataques de phishing a gran escala, posiblemente facilitados por otros ciberdelincuentes a través de un modelo de malware-como-servicio (MaaS), apuntan a más de 1,500 bancos en todo el mundo. Según IBM X-Force, estos ataques abarcan más de 60 países en América Central y del Sur, África, Europa e Indo-Pacífico.
Aunque Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, esta expansión es probablemente un cambio de estrategia después de los intentos de las autoridades brasileñas de desmantelar su infraestructura. Junto con este aumento en su alcance, hay mejoras significativas en el malware, lo cual indica un desarrollo activo.
«El análisis del malware reveló grandes actualizaciones en el algoritmo de generación de dominios (DGA) y la descodificación de cadenas, así como la capacidad de usar clientes de Microsoft Outlook en hosts infectados para propagar más correos de phishing», dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.
Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, dependiendo de la naturaleza del engaño y la entidad gubernamental suplantada en los mensajes. Los usuarios que hacen clic en el enlace son redirigidos a una imagen de un ícono de PDF, que finalmente lleva a la descarga de un archivo ZIP con el ejecutable del cargador de Grandoreiro.
El cargador personalizado está inflado artificialmente a más de 100 MB para evitar el software de escaneo antimalware. También es responsable de asegurarse de que el host comprometido no esté en un entorno de sandbox, recopilando datos básicos de la víctima para un servidor de comando y control (C2), y descargando y ejecutando el troyano bancario principal.
Cabe destacar que el paso de verificación también se realiza para saltar sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos, así como máquinas con Windows 7 en los EE.UU. sin antivirus instalado.
Grandoreiro soporta una variedad de comandos. Esto permite a los actores de amenaza tomar control del sistema de forma remota, realizar operaciones de archivos y habilitar modos especiales. Incluye un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo del usuario afectado para enviar mensajes de spam a otros objetivos.
«Para interactuar con el cliente local de Outlook, Grandoreiro utiliza la herramienta Outlook Security Manager, un software usado para desarrollar complementos de Outlook», dijeron los investigadores. «La principal razón para esto es que el Outlook Object Model Guard dispara alertas de seguridad si detecta acceso a objetos protegidos».
«Mediante el uso del cliente local de Outlook para enviar spam, Grandoreiro puede propagarse a través de las bandejas de entrada infectadas vía correo electrónico, lo que probablemente contribuye al gran volumen de spam observado de Grandoreiro».
