Grandoreiro mira bancos de Portugal e América Latina

Pesquisadores detectaram duas novas campanhas ativas do trojan bancário Grandoreiro mirando instituições financeiras de Portugal e empresas na Espanha, México e América Latina. O malware, em operação silenciosa desde 2016, sobreviveu a ações de law enforcement que resultaram em prisões na Espanha, Brasil e Argentina em 2021 e 2024, conforme relatório da WatchGuard compartilhado com o Cyber Security News.

A telemetria da empresa identificou duas campanhas: uma utilizando a técnica de DLL Side-Loading e outra empregando um script VBS malicioso para entregar o malware. Ambas começam com phishing, enganando vítimas para que cliquem em links que eventualmente instalam o trojan. Os atacantes usam plataformas de nuvem como Google Cloud, Microsoft Azure e Amazon para misturar o tráfego malicioso a atividades comuns de rede, tornando a detecção mais difícil.

De acordo com os especialistas, o código inclui referências codificadas a mais de 20 bancos em Portugal, incluindo Caixa Geral de Depósitos, Millennium, Novobanco e Santander, além de serviços como Revolut e Wise. O impacto se estende a clientes bancários e empresas em múltiplos países.

Primeira campanha: DLL Side-Loading

A primeira campanha disfarça quatro arquivos DLL maliciosos como componentes legítimos de software. Construídos com Delphi 11 e contendo componentes SGC WebSockets ligados ao WebRTC, cada DLL se conecta a um provedor de nuvem diferente: Google Cloud Pub/Sub, Microsoft Azure com protocolo MQTT e Amazon também via MQTT. O malware é entregue por links de phishing que redirecionam para o Dropbox, onde um arquivo ZIP contendo as DLLs é baixado.

O código apresenta recursos agressivos de anti-análise, verificando ferramentas de depuração, ambientes virtuais e software de segurança antes da execução completa. Strings escritas em chinês foram encontradas incorporadas ao código.

Segunda campanha: VBS malicioso

A segunda campanha direciona vítimas a uma página falsa hospedada em servidores da Contabo, com restrição geográfica para exibição apenas a usuários nas regiões alvo. A página contém link para arquivo no Mediafire que, após download, executa um script VBS ofuscado que instala o malware. O trojan então exibe uma falsa mensagem de atualização do Adobe Reader enquanto verifica a localização da vítima por serviço público de IP e confirma que a máquina não é um ambiente de pesquisa. Em seguida, rouba credenciais, registra teclas, monitora a área de transferência e exibe sobreposições bancárias falsas.

Recomendações

A WatchGuard recomenda que organizações vão além de ferramentas básicas de e-mail e endpoints. Visibilidade em camadas, detecção comportamental e monitoramento contínuo entre usuários, dispositivos e infraestrutura de nuvem são essenciais. Os pesquisadores afirmam que trojans bancários como o Grandoreiro estão se tornando mais hábeis em se misturar, e defesas superficiais não serão suficientes.