Замеченный в 2017 году Grandoreiro таргетирвоался на испаноязычные страны и привело к хищениям в размере 120 миллионов долларов.
Вернувшийся Grandoreiro теперь задействован в крупномасштабной фишинговой кампании с марта 2024 года, вероятно, в рамках модели MaaS и нацелен на более чем в 60 стран и порядка 1500 банков.
Сам троян подвергся технической модернизации, в результате которой было добавлено множество новых мощных функций и улучшений, а фишинговые приманки разнообразны специально под конкретных жертв.
В электронных письмах авторы выдают себя за правительственные учреждения из Мексике, Аргентине и Южной Африке, в основном за налоговые службы и федеральные органы по электроэнергетике.
Среди замеченных IBM X-Force улучшений: переработанный алгоритм дешифрования строк с использованием комбинации AES CBC и специального декодера, алгоритма генерации домена (DGA), новые механизмы сохранения и отключения системы безопасности в Microsoft Outlook и рассылки на новые цели.
Кроме того, расширен таргетинг банковских приложений и криптокошельков. Обновленный набора команд теперь включает удаленное управление, загрузку/загрузку файлов, ведение журнала клавиатуры и манипулирование браузером с помощью команд JavaScript.
Еще одна примечательная новая функция - это способность Grandoreiro выполнять детальное профилирование жертв для решения о выполнении на устройстве.
При этом аналитики IBM сообщают, что последняя версия трояна избегает запуска в определенных странах, таких как Россия, Чехия, Нидерланды и Польша, а также на компьютерах с Windows 7 в США, где не активен антивирус.
Таким образом, несмотря на недавние действия правоохранительных органов, Grandoreiro жив и теперь более активен, значительно увеличивая свой таргетинг, а вместе с ним и гонорар своих операторов.
Мы в VK: https://vk.com/darkwebex
