Банковский троян тестирует пользователя перед атакой и имеет сходство со старым трояном.
Согласно отчету Zscaler , в рамках новой кампании злоумышленник с помощью фишинговых электронных писем выдает себя за правительственных чиновников из Генпрокуратуры Мехико и Министерства государственного управления, чтобы побудить жертв загрузить и запустить Grandoreiro . Этот распространенный банковский троян активен по крайней мере с 2016 года и нацелен на пользователей в Латинской Америке.
С июня 2022 года киберпреступник с помощью многочисленных цепочек заражения атакует компании в секторе автомобилестроения, промышленного и гражданского строительства, логистики и машиностроения в Мексике и предприятия химической промышленности в Испании.
Отправляемые фишинговые письма написаны на испанском языке и побуждают жертву нажать на встроенную ссылку, которая загружает ZIP-архив. Из архива извлекается загрузчик, который маскируется под PDF-документ, чтобы осуществить запуск процесса.
В фишинговых сообщениях используются темы, связанные с возмещением платежей, уведомлениями о судебных разбирательствах, аннулированием ипотечных кредитов и депозитными ваучерами.
Этот загрузчик отвечает за загрузку, извлечение и выполнение полезной нагрузки Grandoreiro объемом 400 МБ с удаленного HFS-сервера, которая далее взаимодействует с C2-сервером, используя трафик, идентичный LatentBot .
Загрузчик также предназначен для сбора системной информации, получения списка установленного антивирусного ПО, криптовалютных кошельков, банковских и почтовых приложений и передачи информации на удаленный сервер.
Grandoreiro представляет собой модульный бэкдор с набором функций, которые позволяют ему:
Более того, вредоносное ПО использует тест CAPTCHA для обхода песочницы. Прохождение CAPTCHA запускает троян на скомпрометированной машине, т.е. бэкдор не запустится до тех пор, пока жертва не решит CAPTCHA.