Grandoreiro 恶意软件重现，全球银行账户成目标

Grandoreiro，一种银行木马，已经回归并展开了一项大规模的钓鱼活动，目前已遍及超过60个国家，针对约1500家银行的客户帐户。

这场恶意程式的运作在2024年1月遭到巴西和西班牙当局、国际刑警、网路安全公司ESET及Caixa Bank的联合行动打击，造成12亿美元的损失，主要针对西班牙语国家。尽管在巴西进行了多次逮捕和查扣，Grandoreiro的幕后主谋似乎仍然逃脱了抓捕，这从近期这种恶意程式的精密更新可见一斑。

Grandoreiro在各国针对银行应用程序的攻击 (资料来源：IBM)

针对组织定制的钓鱼活动

根据IBM XForce团队的一份报告，Grandoreiro自2024年3月以来重新展开广泛操作。该恶意程式可能透过恶意程式即服务MaaS模式租给网路罪犯，并同时开始针对英语国家。

这些钓鱼电子邮件模仿来自墨西哥、阿根廷和南非的政府机构的通讯，特别是税务和收益机构以及联邦电力公司。它们设计精良，看起来非常真实，带有官方标志，且用收件人的母语撰写。

针对阿根廷人的钓鱼电子邮件 (资料来源：IBM)

这些电子邮件催促收件人点击连结，据说会引导至重要文件，如发票或税务记录。然而，点击这些连结会启动一个含有诈骗性的PDF图像的下载，该PDF下载后会有一个ZIP文件，里面包含恶意的Grandoreiro加载程序。

最新版本的Grandoreiro显示出了显著的技术提升，使其比以前更具威胁性。值得注意的升级包括：

精炼的字串解密演算法，将AES CBC与自定义解码器结合。

改进的域名生成演算法DGA，现在包含多个种子，帮助将命令和控制的通信与操作任务分开。

一种针对Microsoft Outlook用户的创新方法，能够禁用安全警报并使用被妥协的帐户发送钓鱼电子邮件。

新具的持续性机制，通过创建注册表运行键来确保木马在系统重启后自动加载。

Grandoreiro现在不仅针对银行应用程序，还包括加密货币钱包。该木马的功能还扩展到远程控制受感染设备、文件上传和下载、键盘记录以及通过JavaScript命令操纵浏览器会话。

此外，它还被编程进行详细的潜在受害者分析，并根据设备的地理位置和具体系统特征决定是否执行。

IBM的分析师表示，Grandoreiro的最新版本在俄罗斯、捷克、荷兰和波兰等国家以及未安装主动防毒软件的美国Windows 7等过时系统上避免执行。

Grandoreiro 恶意软件重现，全球银行账户成目标

随着Grandoreiro的触角进一步扩展，尤其是进入英语国家，个人和组织的警惕性和主动安全措施的重要性从未如此明显。