Ataki phishingowe za pośrednictwem modelu złośliwego oprogramowania jako usługi (MaaS), są wymierzone w ponad 1500 banków na całym świecie, obejmujących ponad 60 krajów w Ameryce Środkowej i Południowej, Afryce, Europie i Indo-Pacyfiku.
Chociaż Grandoreiro jest znane przede wszystkim ze swojej działalności w Ameryce Łacińskiej, Hiszpanii i Portugalii, ekspansja oznacza prawdopodobnie zmianę strategii po próbach zamknięcia infrastruktury przez władze brazylijskie.
W parze z szerszym zakresem ataków idą znaczące ulepszenia samego szkodliwego oprogramowania, co wskazuje na jego aktywny rozwój.
„Analiza złośliwego oprogramowania ujawniła istotne aktualizacje algorytmu deszyfrowania ciągów znaków i generowania domen (DGA), a także możliwość wykorzystania klientów Microsoft Outlook na zainfekowanych hostach w celu rozprzestrzeniania dalszych wiadomości e-mail phishingowych” – stwierdzili badacze bezpieczeństwa Golo Mühr i Melissa Frydrych.
Ataki rozpoczynają się od wiadomości e-mail phishingowych, które instruują odbiorców, aby kliknęli łącze w celu wyświetlenia faktury lub dokonania płatności, w zależności od charakteru przynęty i podmiotu rządowego, pod jakiego się podszywają w wiadomościach.
Użytkownicy, którzy klikną łącze, zostaną przekierowani do obrazu ikony PDF, co ostatecznie doprowadzi do pobrania archiwum ZIP z plikiem wykonywalnym modułu ładującego Grandoreiro. Niestandardowy moduł ładujący jest sztucznie zawyżony do ponad 100 MB, aby ominąć oprogramowanie skanujące w poszukiwaniu złośliwego oprogramowania. Warto zaznaczyć, że etap weryfikacji odbywa się również w celu pominięcia systemów geolokalizowanych w Rosji, Czechach, Polsce i Holandii, a także komputerów z systemem Windows 7 znajdujących się w USA i bez zainstalowanego programu antywirusowego. Komponent trojana rozpoczyna swoje działanie od ustanowienia trwałości za pośrednictwem rejestru Windows, po czym wykorzystuje przerobioną DGA do nawiązania połączenia z serwerem C2 w celu otrzymania dalszych instrukcji. Grandoreiro obsługuje różnorodne polecenia, które pozwalają cyberprzestępcom zdalnie przejąć kontrolę nad systemem, przeprowadzać operacje na plikach i włączać specjalne tryby, w tym nowy moduł, który gromadzi dane programu Microsoft Outlook i wykorzystuje konto e-mail ofiary do wysyłania wiadomości spamowych do innych celów.
„W celu interakcji z lokalnym klientem Outlooka Grandoreiro korzysta z narzędzia Outlook Security Manager, oprogramowania służącego do tworzenia dodatków do Outlooka” – stwierdzili specjaliści od cybersec. „Głównym powodem jest to, że funkcja Outlook Object Model Guard wyzwala alerty bezpieczeństwa, jeśli wykryje dostęp do chronionych obiektów”.