Los actores de amenazas detrás del troyano bancario Grandoreiro basado en Windows han regresado en una campaña global desde marzo de 2024, luego de una eliminación policial en enero.
Los ataques de phishing a gran escala, probablemente facilitados por otros ciberdelincuentes a través de un modelo de malware como servicio (MaaS), se dirigen a más de 1.500 bancos en todo el mundo, abarcando más de 60 países de América Central y del Sur, África, Europa y el Indo-Pacífico, dijo IBM X-Force.
Si bien Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, la expansión probablemente sea un cambio de estrategia después de los intentos de las autoridades brasileñas de cerrar su infraestructura .
De la mano de una huella de ataque más amplia, se encuentran mejoras significativas en el propio malware, lo que indica un desarrollo activo.
«El análisis del malware reveló actualizaciones importantes dentro del algoritmo de descifrado de cadenas y generación de dominios (DGA), así como la capacidad de utilizar clientes Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing», dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych .
Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, según la naturaleza del señuelo y la entidad gubernamental suplantada en los mensajes.
Los usuarios que terminan haciendo clic en el enlace son redirigidos a una imagen de un ícono de PDF, lo que finalmente conduce a la descarga de un archivo ZIP con el ejecutable del cargador Grandoreiro.
El cargador personalizado se infla artificialmente a más de 100 MB para evitar el software de escaneo antimalware. También es responsable de garantizar que el host comprometido no se encuentre en un entorno aislado, recopilar datos básicos de la víctima en un servidor de comando y control (C2) y descargar y ejecutar el principal troyano bancario.
Vale la pena señalar que el paso de verificación también se realiza para omitir sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos, así como máquinas con Windows 7 con sede en EE. UU. sin antivirus instalado.
El componente troyano comienza su ejecución estableciendo persistencia a través del Registro de Windows, después de lo cual emplea un DGA rediseñado para establecer conexiones con un servidor C2 para recibir más instrucciones.
Grandoreiro admite una variedad de comandos que permiten a los actores de amenazas controlar remotamente el sistema, realizar operaciones con archivos y habilitar modos especiales, incluido un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima para enviar mensajes de spam a otros objetivos.
«Para interactuar con el cliente Outlook local, Grandoreiro utiliza la herramienta Outlook Security Manager , un software utilizado para desarrollar complementos de Outlook», dijeron los investigadores. «La razón principal detrás de esto es que Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos».
«Al utilizar el cliente Outlook local para enviar spam, Grandoreiro puede propagarse a través de las bandejas de entrada de las víctimas infectadas a través del correo electrónico, lo que probablemente contribuye a la gran cantidad de volumen de spam observado en Grandoreiro».
Fuente y redacción: thehackernews.com