Il malware bancario Grandoreiro continua a evolversi con nuove varianti e strategie avanzate per eludere le misure anti-frode. Nonostante gli sforzi delle forze dell'ordine, l'operazione dietro Grandoreiro continua a svilupparsi e a colpire utenti in tutto il mondo. Questo malware, attivo dal 2016, ha ampliato il suo raggio d'azione geografico, prendendo di mira clienti bancari in America Latina e Europa. Una delle tecniche recentemente adottate dagli sviluppatori di Grandoreiro include l'utilizzo di un algoritmo di generazione di domini per le comunicazioni di comando e controllo. Inoltre, il malware è dotato di crittografia per il furto di ciphertext e tracciamento del mouse, rendendolo ancora più difficile da rilevare.

La modellazione del malware-as-a-service (MaaS)

La modellazione del malware-as-a-service (MaaS) di Grandoreiro è disponibile solo per criminali informatici selezionati e partner fidati. Gli sviluppatori hanno integrato nuove funzionalità che permettono al malware di auto-aggiornarsi, registrare i tasti premuti e selezionare i paesi per individuare le vittime. È anche in grado di utilizzare Outlook per inviare email di spam e monitorare le email per parole chiave specifiche. Queste caratteristiche dimostrano un'evoluzione continua, con l'obiettivo di ingannare i sistemi di sicurezza moderni che si basano su biometria comportamentale e apprendimento automatico.

Metodi di distribuzione

Grandoreiro è stato spesso distribuito tramite email di phishing e, in misura minore, tramite annunci dannosi su Google. Il primo stadio dell'infezione coinvolge un file ZIP che contiene un file legittimo e un caricatore MSI responsabile del download e dell'avvio del malware. Le campagne osservate nel 2023 hanno sfruttato eseguibili portatili di grandi dimensioni, camuffati da driver SSD esterni AMD, per eludere i controlli dei sandbox e passare inosservati. Inoltre, il malware è programmato per cercare soluzioni anti-malware come AVAST, Bitdefender, Nod32 e altre, e verificare la presenza di software di sicurezza bancario.

Funzionalità avanzate

Una funzione notevole del malware è la capacità di operare come clipper, reindirizzando le transazioni di criptovaluta a portafogli sotto il controllo degli attori della minaccia. Inoltre, Grandoreiro verifica la presenza di determinati browser web, client email, VPN e applicazioni di archiviazione cloud sul sistema, monitorando l'attività dell'utente su queste app. Questo approccio sofisticato dimostra come gli sviluppatori di malware stiano costantemente affinando le loro tattiche per contrastare le soluzioni di sicurezza e portare avanti attacchi efficaci.