Dopo essere stati momentaneamente fermati da un’operazione congiunta delle forze dell’ordine a gennaio 2024, gli autori delle minacce dietro il famigerato trojan bancario Grandoreiro sono tornati all’attacco.
Da marzo 2024, una campagna globale di phishing ha preso di mira più di 1.500 banche in oltre 60 paesi, coinvolgendo America Centrale e Meridionale, Africa, Europa, Stati Uniti e la regione Indo-Pacifica.
Questo nuovo attacco, probabilmente facilitato da un modello di malware-as-a-service (MaaS), rappresenta una minaccia significativa per la sicurezza informatica globale.
Grandoreiro, noto per la sua attenzione su America Latina, Spagna e Portogallo, ha espanso il proprio raggio d’azione come strategia per aggirare le azioni delle autorità brasiliane.
Questo trojan bancario ha subito significativi miglioramenti tecnici, evidenziando uno sviluppo attivo da parte degli autori delle minacce. Secondo i ricercatori di sicurezza Golo Mühr e Melissa Frydrych, l’analisi del malware ha rivelato aggiornamenti importanti all’interno dell’algoritmo di decrittazione delle stringhe e del sistema di generazione dei domini (DGA).
Inoltre, la capacità di utilizzare client Microsoft Outlook su host infetti per diffondere ulteriori e-mail di phishing rappresenta un’ulteriore evoluzione della minaccia.
Gli attacchi iniziano con e-mail di phishing che invitano i destinatari a cliccare su un link per visualizzare una fattura o effettuare un pagamento, basandosi sull’ente governativo impersonato nel messaggio.
Cliccando sul link, gli utenti vengono reindirizzati a un’icona PDF, che porta infine al download di un archivio ZIP contenente l’eseguibile del caricatore Grandoreiro.
Questo caricatore personalizzato è artificiosamente gonfiato a oltre 100 MB per eludere i software anti-malware. Il caricatore verifica, inoltre, che l’host compromesso non sia in un ambiente sandbox, raccoglie i dati di base delle vittime e scarica il trojan bancario principale.
Grandoreiro ha implementato una fase di verifica per evitare di infettare sistemi situati in Russia, Repubblica Ceca, Polonia e Paesi Bassi, nonché macchine Windows 7 negli Stati Uniti prive di antivirus.
Una volta attivo, il trojan stabilisce la persistenza tramite il registro di Windows e utilizza un DGA rielaborato per connettersi ai server di comando e controllo (C2), ricevendo ulteriori istruzioni.
Questo malware supporta una varietà di comandi che consentono agli autori delle minacce di prendere il controllo remoto del sistema, eseguire operazioni sui file e attivare modalità speciali, tra cui un nuovo modulo che raccoglie dati da Microsoft Outlook per inviare spam ad altri obiettivi.
Per interagire con il client Outlook locale, Grandoreiro utilizza lo strumento Outlook Security Manager, bypassando così gli avvisi di sicurezza del Outlook Object Model Guard.
Utilizzando il client Outlook locale per l’invio di spam, Grandoreiro può diffondersi ulteriormente attraverso le caselle di posta delle vittime infette, contribuendo alla grande quantità di spam osservata dai ricercatori di sicurezza.
Lo scorso aprile 2023, l’Interpol ha richiesto indicatori di compromissione (IOC) o informazioni relative al trojan Grandoreiro, in particolare per i server di comando e controllo (C&C).
Grandoreiro, apparso per la prima volta intorno al 2018, si è evoluto con nuove funzionalità e capacità, mirando principalmente agli utenti in America Latina ed Europa. Trend Micro è stata uno dei partner coinvolti nell’operazione dell’Interpol per assistere le forze dell’ordine brasiliane e spagnole nell’analisi dei campioni di malware Grandoreiro.
L’operazione coordinata ha portato all’arresto di cinque amministratori dietro l’operazione Grandoreiro, secondo quanto riferito dalle autorità brasiliane. Nella precedente campagna criminale l’Italia non registrava rilevazioni di attacchi e sembra non aver diffuso Grandoreiro.
Ma la portata dell’attuale campagna non è ancora nota e resta in dubbio se e quando il malware potrà diffondersi anche nel nostro paese.
L’attuale campagna globale di Grandoreiro rappresenta una minaccia alla sicurezza bancaria mondiale.
La capacità del malware di evolversi e adattarsi rapidamente alle misure di contrasto delle forze dell’ordine, combinata con l’uso di tecniche avanzate per eludere i controlli di sicurezza, evidenzia la necessità di una vigilanza continua e di una collaborazione internazionale per combattere efficacemente questa pericolosa minaccia cyber criminale.