Grandoreiro: malware prende di mira 1500 banche nel mondo

Il trojan bancario "Grandoreiro" si sta diffondendo in oltre 60 paesi con una campagna di phishing su vasta scala che prende di mira i conti dei clienti di circa 1.500 banche. Nel gennaio 2024, un'operazione di polizia internazionale che ha coinvolto Brasile, Spagna, Interpol, ESET e Caixa Bank ha annunciato l'interruzione dell'operazione malware. Questa aveva preso di mira i paesi di lingua spagnola dal 2017 e aveva causato perdite per 120 milioni di dollari. Tuttavia, non sono state fornite informazioni sul ruolo delle persone arrestate nell'operazione. Il team X-Force di IBM riferisce che Grandoreiro sembra essere tornato a operazioni su larga scala da marzo 2024, probabilmente affittato ai criminali informatici tramite un modello Malware-as-a-Service (MaaS), e ora prendendo di mira anche i paesi di lingua inglese. Inoltre, il trojan stesso è stato sottoposto a un rinnovamento tecnico che ha aggiunto molte nuove potenti funzionalità e miglioramenti.

Grandoreiro: nuove campagne di phishing in tutto il mondo

Poiché più autori di minacce noleggiano il malware, le esche di phishing sono diverse e realizzate appositamente per le organizzazioni prese di mira. Le e-mail di phishing rilevate da IBM si spacciano per enti governativi in Messico, Argentina e Sud Africa. Si tratta principalmente organizzazioni di amministrazione fiscale, servizi fiscali e commissioni federali per l'elettricità. Le e-mail sono scritte nella lingua madre del destinatario, incorporano loghi e formati ufficiali e contengono un invito all'azione. Ad esempio, viene chiesto di fare clic sui collegamenti per visualizzare fatture, estratti conto o documenti fiscali. Quando i destinatari fanno clic su tali e-mail, vengono reindirizzati a un'immagine di un PDF. Questa attiva il download di un file ZIP contenente un exe bloated (100 MB), che è il payload di Grandoreiro.

IBM X-Force ha notato diverse nuove funzionalità e aggiornamenti significativi nell'ultima variante del trojan bancario Grandoreiro. Queste includono un algoritmo di decrittografia delle stringhe rielaborato e migliorato utilizzando una combinazione di AES CBC e decoder personalizzato, aggiornamenti sull'algoritmo di generazione del dominio (DGA) che ora include più seed per separare le comunicazioni di comando e controllo (C2) con i compiti dell'operatore e non solo. Un'altra nuova caratteristica degna di nota è la capacità di Grandoreiro di eseguire una profilazione dettagliata delle vittime e di decidere se verrà eseguita o meno sul dispositivo. Ciò offre agli operatori un migliore controllo del loro ambito di targeting. Gli analisti IBM riferiscono che l'ultima versione del trojan evita l'esecuzione in paesi specifici come Russia, Repubblica Ceca, Paesi Bassi e Polonia. Inoltre, il trojan non si attiva nemmeno su PC Windows 7 negli Stati Uniti dove non è attivo alcun antivirus.