Depuis mars de cette année, Grandoreiro a attaqué plus de 1 500 banques situées dans 60 pays sur tous les continents, y compris en Pologne. Il s’agit d’attaques de phishing massives que les pirates lancent en mode MaaS (Malware-as-a-Service).
Le cheval de Troie a récemment été considérablement mis à jour, c'est pourquoi il est désormais beaucoup plus dangereux. Il envoie des messages de phishing à l'aide d'hôtes infectés qui exécutent des clients Microsoft Outlook. Les attaques commencent généralement par l'envoi d'e-mails. Ils demandent aux destinataires de cliquer sur un lien pour afficher une facture ou effectuer un paiement.
Une fois cela fait, ils téléchargent un fichier ZIP contenant un module qui charge le véritable cheval de Troie Grandoreiro. Les pirates ont utilisé une méthode intéressante qui leur permet de contourner les logiciels de détection de logiciels malveillants. Cela consiste à gonfler artificiellement la taille du chargeur du cheval de Troie à plus de 100 Mo.
Le cheval de Troie commence son activité en modifiant l'une des entrées du registre Windows, puis établit une connexion avec le serveur C2 pour recevoir des instructions supplémentaires. Grandoreiro permet aux cybercriminels de prendre le contrôle du système à distance, d'effectuer des opérations sur les fichiers et d'activer des modes spéciaux, notamment un nouveau module qui collecte les données Microsoft Outlook et utilise le compte de messagerie de la victime pour envoyer des messages indésirables à d'autres ordinateurs.
En utilisant un client Outlook local, Grandoreiro est capable de se propager via les boîtes de réception des victimes infectées, ce qui contribue probablement à sa capacité à envoyer des quantités massives de spam.
