近日，研究人員發(fā)現(xiàn)基于 Windows 的 Grandoreiro 特洛伊銀行木馬再次重新浮出水面。據(jù)悉，這是該木馬在 2024 年 3 月份之后，又一次在全球范圍內(nèi)發(fā)動攻擊。

IBM X-Force 表示，大規(guī)模網(wǎng)絡(luò)釣魚攻擊活動可能由其他網(wǎng)絡(luò)犯罪分子通過“推行”惡意軟件即服務(wù)（MaaS）模式，針對遍布中美洲和南美洲，非洲，歐洲和印太地區(qū)的 60 多個國家 1500 多家銀行，發(fā)動網(wǎng)絡(luò)攻擊行動。

值得一提的是，自出道以來，Grandoreiro 背后的運(yùn)營商一直將“目光”鎖定在了拉丁美洲、西班牙和葡萄牙等地區(qū)，也曾在這些地區(qū)發(fā)動了多次網(wǎng)絡(luò)攻擊活動，獲得很多壞“名聲”，但自從巴西當(dāng)局試圖關(guān)閉其基礎(chǔ)設(shè)施后，該組織便開始了戰(zhàn)略轉(zhuǎn)變，謀求大規(guī)模自主擴(kuò)張。

同時，Grandoreiro  惡意軟件自身也進(jìn)行了重大改進(jìn)。

安全研究人員 Golo Mühr 和 Melissa Frydrych 指出， 在對 Grandoreiro  惡意軟件進(jìn)行詳細(xì)分析后，發(fā)現(xiàn)其對字符串解密和域生成算法（DGA）進(jìn)行了重大更新，并能在受感染主機(jī)上使用微軟 Outlook 客戶端進(jìn)一步傳播釣魚電子郵件。

在進(jìn)行網(wǎng)絡(luò)攻擊時，釣魚郵件會指示收件人點擊鏈接查看發(fā)票或付款（具體取決于誘惑的性質(zhì)和郵件中假冒的政府實體），一旦點擊了鏈接，用戶會被重定向到一個 PDF 圖標(biāo)圖像，最終被引導(dǎo)著下載一個包含 Grandoreiro 載入器可執(zhí)行文件的 ZIP 壓縮包。

自定義加載程序被人為地膨脹到 100 MB 以上，以繞過反惡意軟件掃描軟件。此外，它還負(fù)責(zé)確保受感染的主機(jī)不在沙盒環(huán)境中，將基本受害者數(shù)據(jù)收集到命令和控制 （C2） 服務(wù)器，以及下載和執(zhí)行主要銀行木馬。

值得注意的是，該驗證步驟還跳過了位于俄羅斯、捷克、波蘭和荷蘭的系統(tǒng)，以及位于美國且未安裝殺毒軟件的 Windows 7 機(jī)器。

特洛伊木馬組件通過 Windows 注冊表建立持久性開始執(zhí)行，然后使用重新設(shè)計的 DGA 與 C2 服務(wù)器建立連接以接收進(jìn)一步的指令，Grandoreiro 支持各種命令，允許威脅攻擊者遠(yuǎn)程征用系統(tǒng)，執(zhí)行文件操作并啟用特殊模式，包括收集Microsoft Outlook數(shù)據(jù)并濫用受害者的電子郵件帳戶以向其他目標(biāo)發(fā)送垃圾郵件的新模塊。

研究人員強(qiáng)調(diào)，為了與本地 Outlook 客戶端進(jìn)行交互，Grandoreiro 使用 Outlook 安全管理器工具，通過使用本地 Outlook 客戶端發(fā)送垃圾郵件，Grandoreiro 可以利用電子郵件在受感染的受害者收件箱中傳播，這很可能是導(dǎo)致從 Grandoreiro 中觀察到大量垃圾郵件的原因。