De Grandoreiro Banking Trojan duikt weer op en richt zich op meer dan 1.500 banken wereldwijd

De bedreigingsactoren achter de Windows-gebaseerde Grandoreiro De banking trojan is sinds maart 2024 teruggekeerd in een wereldwijde campagne na een arrestatie door de wetshandhaving in januari.

De grootschalige phishing-aanvallen, waarschijnlijk gefaciliteerd door andere cybercriminelen via een Malware-as-a-Service (MaaS)-model, richten zich op meer dan 1.500 banken over de hele wereld, verspreid over meer dan 60 landen in Midden- en Zuid-Amerika, Afrika, Europa en de Indo-Pacific, zei IBM X-Force.

Hoewel Grandoreiro vooral bekend staat om zijn focus op Latijns-Amerika, Spanje en Portugal, is de uitbreiding waarschijnlijk een strategiewijziging na pogingen van de Braziliaanse autoriteiten om de infrastructuur stil te leggen.

Hand in hand gaan met de bredere targeting-voetafdruk zijn aanzienlijke verbeteringen aan de malware zelf, wat duidt op actieve ontwikkeling.

“Analyse van de malware bracht belangrijke updates aan het licht binnen het stringdecryptie- en domeingenererende algoritme (DGA), evenals de mogelijkheid om Microsoft Outlook-clients op geïnfecteerde hosts te gebruiken om verdere phishing-e-mails te verspreiden”, aldus beveiligingsonderzoekers Golo Mühr en Melissa Frydrych.

De aanvallen beginnen met phishing-e-mails waarin ontvangers de opdracht krijgen om op een link te klikken om een ​​factuur te bekijken of een betaling uit te voeren, afhankelijk van de aard van de lokmiddel en de overheidsinstantie die in de berichten wordt nagebootst.

Grandoreiro Banking-trojan

Gebruikers die uiteindelijk op de link klikken, worden doorgestuurd naar een afbeelding van een PDF-pictogram, wat uiteindelijk leidt tot het downloaden van een ZIP-archief met het uitvoerbare bestand Grandoreiro loader.

De aangepaste lader wordt kunstmatig opgeblazen tot meer dan 100 MB om de antimalwarescansoftware te omzeilen. Het is ook verantwoordelijk om ervoor te zorgen dat de gecompromitteerde host zich niet in een sandbox-omgeving bevindt, om basisgegevens van het slachtoffer te verzamelen op een command-and-control (C2)-server en om de belangrijkste banktrojan te downloaden en uit te voeren.

Het is de moeite waard erop te wijzen dat de verificatiestap ook wordt uitgevoerd om systemen over te slaan die zijn geolokaliseerd in Rusland, Tsjechië, Polen en Nederland, evenals Windows 7-machines in de VS waarop geen antivirusprogramma is geïnstalleerd.

De trojan-component begint zijn uitvoering door persistentie tot stand te brengen via het Windows-register, waarna het een herwerkte DGA gebruikt om verbindingen tot stand te brengen met een C2-server om verdere instructies te ontvangen.

Grandoreiro ondersteunt een verscheidenheid aan commando's waarmee de bedreigingsactoren op afstand het systeem kunnen overnemen, bestandsbewerkingen kunnen uitvoeren en speciale modi kunnen inschakelen, waaronder een nieuwe module die Microsoft Outlook-gegevens verzamelt en het e-mailaccount van het slachtoffer misbruikt om spamberichten naar andere doelen te sturen.

“Om met de lokale Outlook-client te kunnen communiceren, gebruikt Grandoreiro de Outlook Security Manager-tool, een software die wordt gebruikt om Outlook-invoegtoepassingen te ontwikkelen”, aldus de onderzoekers. “De belangrijkste reden hierachter is dat Outlook Object Model Guard beveiligingswaarschuwingen activeert als het toegang tot beveiligde objecten detecteert.”

Grandoreiro Banking-trojan

“Door de lokale Outlook-client voor spam te gebruiken, kan Grandoreiro zich via e-mail via de inbox van geïnfecteerde slachtoffers verspreiden, wat waarschijnlijk bijdraagt ​​aan de grote hoeveelheid spam die door Grandoreiro wordt waargenomen.”

Thijs Van der Does