近日，研究人員發現基于 Windows 的 Grandoreiro 特洛伊銀行木馬再次重新浮出水面。據悉，這是該木馬在 2024 年 3 月份之后，又一次在全球范圍內發動攻擊。

IBM X-Force 表示，大規模網絡釣魚攻擊活動可能由其他網絡犯罪分子通過“推行”惡意軟件即服務（MaaS）模式，針對遍布中美洲和南美洲，非洲，歐洲和印太地區的 60 多個國家 1500 多家銀行，發動網絡攻擊行動。

值得一提的是，自出道以來，Grandoreiro 背后的運營商一直將“目光”鎖定在了拉丁美洲、西班牙和葡萄牙等地區，也曾在這些地區發動了多次網絡攻擊活動，獲得很多壞“名聲”，但自從巴西當局試圖關閉其基礎設施后，該組織便開始了戰略轉變，謀求大規模自主擴張。

同時，Grandoreiro  惡意軟件自身也進行了重大改進。

安全研究人員 Golo Mühr 和 Melissa Frydrych 指出， 在對 Grandoreiro  惡意軟件進行詳細分析后，發現其對字符串解密和域生成算法（DGA）進行了重大更新，并能在受感染主機上使用微軟 Outlook 客戶端進一步傳播釣魚電子郵件。

在進行網絡攻擊時，釣魚郵件會指示收件人點擊鏈接查看發票或付款（具體取決于誘惑的性質和郵件中假冒的政府實體），一旦點擊了鏈接，用戶會被重定向到一個 PDF 圖標圖像，最終被引導著下載一個包含 Grandoreiro 載入器可執行文件的 ZIP 壓縮包。

自定義加載程序被人為地膨脹到 100 MB 以上，以繞過反惡意軟件掃描軟件。此外，它還負責確保受感染的主機不在沙盒環境中，將基本受害者數據收集到命令和控制 （C2） 服務器，以及下載和執行主要銀行木馬。

值得注意的是，該驗證步驟還跳過了位于俄羅斯、捷克、波蘭和荷蘭的系統，以及位于美國且未安裝殺毒軟件的 Windows 7 機器。

特洛伊木馬組件通過 Windows 注冊表建立持久性開始執行，然后使用重新設計的 DGA 與 C2 服務器建立連接以接收進一步的指令，Grandoreiro 支持各種命令，允許威脅攻擊者遠程征用系統，執行文件操作并啟用特殊模式，包括收集Microsoft Outlook數據并濫用受害者的電子郵件帳戶以向其他目標發送垃圾郵件的新模塊。

研究人員強調，為了與本地 Outlook 客戶端進行交互，Grandoreiro 使用 Outlook 安全管理器工具，通過使用本地 Outlook 客戶端發送垃圾郵件，Grandoreiro 可以利用電子郵件在受感染的受害者收件箱中傳播，這很可能是導致從 Grandoreiro 中觀察到大量垃圾郵件的原因。