Grandoreiro银行木马：最新版本和新伎俩概述

Grandoreiro 是一种著名的巴西银行木马，隶属于Tetrade旗下，可使威胁行为者利用受害者的计算机绕过银行机构使用的安全措施，进行欺诈性银行业务。自2016年以来，它一直活跃，如今已成为全球最普遍的银行木马之一。

国际刑警组织和全球各地的执法机构正在打击 Grandoreiro，卡巴斯基与他们合作，分享 TTP 和感染迹象（IoC）。但是，尽管2021年和2024年这种木马在一些地区的运营者遭到打击，西班牙、巴西和阿根廷的团伙成员被逮捕，但该威胁组织仍然活跃。我们现在可以肯定的是，该团伙只有部分成员被捕：Grandoreiro背后的其余操作者仍在继续攻击世界各地的用户，进一步开发新的恶意软件并建立新的基础设施。

每年，我们都会发现新的针对金融机构的Grandoreiro恶意活动，这些样本中使用了安全解决方案难以检测到的新技巧。多年来，该组织不断发展壮大，我们追踪到的每一次新活动中，其攻击目标数量都在增加。2023年，这款银行木马攻击了40个国家的900家银行；2024年，该木马的最新版本攻击了45个国家和地区的1,500家银行和276个加密货币钱包，遍布世界各大洲，最后将亚洲和非洲也纳入其目标范围，使其成为真正的全球金融威胁。仅在西班牙，保守估计Grandoreiro就涉及350万欧元的欺诈活动——多次失败的尝试可能为犯罪组织带来了超过1.1亿欧元的收益。

在这篇文章中，我们将详细介绍Grandoreiro的运作方式、其随时间的演变以及恶意软件采用的新技巧，例如在其C2通信中使用3个DGA（域名生成算法）、采用密文窃取加密（CTS）以及鼠标行为跟踪，旨在绕过反欺诈解决方案。这一演变最终体现在更轻量级和本地化版本的推出，目前主要集中在墨西哥，使该威胁组织成为金融行业、执法机构和安全解决方案面临的全球性挑战。

Grandoreiro：一种恶意软件，多个操作者，碎片化版本

Grandoreiro 是一款起源于巴西的银行木马，至少从2016年就开始活跃。Grandoreiro 使用 Delphi 编程语言编写，拥有多个版本，这通常表明有多个不同的操作者参与了该恶意软件的开发。

自2016年以来，我们观察到Grandoreiro背后的威胁行为者不断改进其技术，以保持不被监控并延长活动时间。2020年，Grandoreiro 开始扩大其在拉丁美洲的攻击，随后成功扩展到欧洲，并专注于使用模块化安装程序来逃避检测。

Grandoreiro 的运作方式可以被描述为恶意软件即服务 (MaaS)，尽管它与其他银行木马家族中通常看到的模式略有不同。你不会在暗网论坛上看到出售 Grandoreiro 软件包的公告——似乎只有受信任的合作伙伴才能访问该木马的源代码或构建器。

在一些运营者被捕后，Grandoreiro将其代码库拆分为更轻量级的版本，目标更少，创建了木马的碎片化版本，以应对最近的执法行动。这一发现得到了同时进行的活动中存在两个不同代码库的证据支持：较新的样本具有更新的代码，而较旧的样本则依赖于旧的代码库，该版本目前仅针对墨西哥的用户，这些用户是大约30家银行的客户。

Grandoreiro 的攻击活动通常以目标国家语言编写的网络钓鱼电子邮件开始。例如，在拉丁美洲大部分地区分发的电子邮件使用的是西班牙语。不过，我们也看到一些 Grandoreiro 活动中使用了谷歌广告（恶意广告），以引导用户下载感染的初始阶段。

钓鱼邮件使用不同的诱饵诱使受害者与邮件互动并下载恶意软件。一些邮件提到未付的电话账单，另一些则模假冒税务通知等。在2022年初的活动中，恶意邮件包含一个PDF附件。一旦打开PDF，受害者看到的图像除了包含“Visualizar Documento”（西班牙语的“查看文档”）文本的部分外，其余部分都是模糊的。当受害者点击按钮时，他们会被重定向到一个恶意网页，该网页会提示下载ZIP文件。自2022年5月以来，Grandoreiro的活动包含在邮件正文中嵌入的恶意链接，该链接会将受害者重定向到一个网站，该网站会在受害者的机器上进一步下载一个恶意的ZIP压缩包。这些ZIP压缩包通常包含两个文件：一个合法文件和一个Grandoreiro加载器，加载器负责下载、提取和执行最终的Grandoreiro有效载荷。

Grandoreiro 载入器以 Windows 安装程序 (MSI) 文件的形式提供，它提取动态链接库 (DLL) 文件并执行嵌入在 DLL 中的函数。如果系统语言是英语，该函数将不会执行任何操作，否则将下载最终的有效载荷。这很可能意味着被分析的版本并未针对英语国家。此外，还有些情况下使用VBS文件而不是DLL来执行最终的有效载荷。

Grandoreiro 最近的感染流程

至于恶意软件本身，在2022年8月的活动中，最终有效载荷是一个大得惊人的414 MB便携式可执行文件，伪装成 PNG 扩展名（后来被加载器动态重命名为 EXE）。它使用华硕图标将自己伪装成华硕驱动程序，并签署了 “ASUSTEK DRIVER ASSISTANTE ”数字证书。

在2023年的活动中，Grandoreiro使用了检测率相对较低的样本。最初，我们确定了与这些活动相关的三个样本，这些样本都是在2023年6月编译的。它们都是大小为390 MB的便携式可执行文件（PE文件），原始名称为“ATISSDDRIVER.EXE”，内部名称为“ATIECLXX.EXE”。这些样本的主要目的是监控受害者访问金融机构网站的行为，并窃取他们的凭证。此外，恶意软件还允许攻击者远程控制受害者的机器，并在其中执行欺诈性交易。

在涉及上述样本的活动中，恶意软件试图伪装成 AMD 外部数据 SSD 驱动程序，并使用“Advice informations”数字证书进行签名，以便看起来合法并逃避检测。

假冒 AMD 驱动程序的植入物

Grandoreiro 恶意软件使用的数字签名

在这两种情况下，恶意软件都是一个可执行文件，它会注册自己以便在Windows启动时运行。但是，值得注意的是，在大多数Grandoreiro攻击中，使用了DLL侧加载技术，利用合法的、经过数字签名的二进制文件来运行恶意软件。

Grandoreiro 利用二进制填充技术增大恶意文件的大小，以此躲避沙盒的检测，这解释了可执行文件的巨大体积。攻击者为了达到这个目的，在二进制文件的资源段添加了多个BMP图像。在下面的例子中，样本嵌入了一些大型图像。突出显示的图像大小约为83.1 MB、78.8 MB、75.7 MB和37.6 MB。然而，二进制文件中还有更多这样的图像，所有图像加起来使文件大小增加了约376 MB。

Grandoreiro 使用了二进制填充技术

在 2022 和 2023 版本中，旨在避免检测和使恶意软件分析复杂化的各种检查和验证也有所改变。与旧版Grandoreiro活动不同，我们发现一些以前由最终有效载荷执行的任务现在由第一阶段加载器实现。这些任务包括安全检查、反调试技术等。这是与以往活动相比的重大变化。

其中一项任务是使用地理位置服务http://ip-api.com/json收集目标的 IP 地址位置数据。在Trustwave于2023年5月报告的一次活动中，这项任务是由嵌入MSI安装程序的JScript代码完成的，然后再发送最终有效载荷。

还有许多其他检查程序被转移到加载程序中，尽管其中一些仍然存在于银行木马本身。Grandoreiro 会收集主机信息，如操作系统版本、主机名、显示器信息、键盘布局、当前时间和日期、时区、默认语言和鼠标类型。然后，恶意软件会检索计算机名称，并将其与下列与已知沙盒相对应的字符串进行比较：

●       WIN-VUA6POUV5UP

●       Win-StephyPC3

●       difusor

●       DESTOP2457

●       JOHN-PC

计算机名称验证

它还会收集用户名，并验证是否与 “John ”或 “WORK ”字符串匹配。如果其中任何一个验证匹配，恶意软件就会停止执行。

Grandoreiro包括对安全分析师常用工具的检测，如regmon.exe、procmon.exe、Wireshark等。不同版本恶意软件使用的进程列表各不相同，并且列表在2024年显著扩充，因此我们将在本文后面分享完整的列表。恶意软件使用CreateToolhelp32Snapshot()Windows API 获取系统中当前执行进程的快照，并使用Process32FirstW()和Process32NextW() 浏览进程列表。如果系统中存在任何分析工具，恶意软件的执行就会终止。

Grandoreiro还会检查其执行所在的目录。如果执行路径为D:programming或D:script，它会终止自身的运行。

该木马程序中还实现了一种反调试技术，该技术通过读取I/O端口“0x5658h”（VX）中的数据来检查虚拟环境的存在，并查找VMware的魔术数字0x564D5868。该恶意软件还使用IsDebuggerPresent()函数来确定当前进程是否在调试器的上下文中执行。

最后但同样重要的是，Grandoreiro会搜索反恶意软件解决方案，如AVAST、Bitdefender、Nod32、Kaspersky、McAfee、Windows Defender、Sophos、Virus Free、Adaware、Symantec、Tencent、Avira、ActiveScan和CrowdStrike。它还查找银行安全软件，如Topaz OFD和Trusteer。

在核心功能方面，一些 Grandoreiro 样本会检查是否安装了以下程序：

如果系统中存在这些程序中的任何一个，恶意软件会将它们的名称存储起来，以便进一步监控用户在这些程序中的活动。

Grandoreiro 还会检查受感染机器上是否安装了加密钱包。该恶意软件包括一个用于加密钱包的剪贴板替换程序，可以监控用户的剪贴板活动，并用威胁行为者的密钥替换剪贴板数据。

剪贴板替换程序

在2024年2月的一段时间内，在宣布逮捕一些巴西犯罪团伙运营者几天后，我们观察到垃圾邮件陷阱检测到的邮件数量显著增加。其中，伪装成墨西哥 CFDI 的Grandoreiro主题邮件明显增多。墨西哥 CFDI 是 “Comprobante Fiscal Digital por Internet ”的缩写，是墨西哥税务局（AT – Servicio de Administración Tributaria）管理的电子发票系统。它方便了数字税务文件的创建、传输和存储，墨西哥企业为了税务目的记录交易，必须使用该系统。

在我们的调查中，我们获取了48个样本，这些样本不仅与此次事件有关，还与其他多个活动有关。

值得注意的是，这次新活动增加了新的沙盒检测机制，即在执行主要有效载荷之前使用验证码，以此来避免某些公司使用的自动分析方法：

Grandoreiro的反沙盒验证码机制

值得注意的是，在2024年Grandoreiro的活动中，新的沙盒规避代码已在下载器中实现。虽然主样本仍然也具有反沙盒功能，但如果检测到沙盒，则根本不会下载。除此之外，新版本还增加了对许多工具的检测，旨在避免被分析。最新版本检测到的分析工具完整列表如下：

●       自动更新功能允许将恶意软件的新版本部署到受害者的机器上

●       沙盒/反病毒软件检测，仍然存在于主模块中，包括比以前版本更多的工具

●       键盘记录功能

●       能够选择国家以列出受害者

●       检测银行安全解决方案

●       检查地理位置信息以确保在目标国家运行

●       监控Outlook邮件，查询特定关键词

●       可使用Outlook发送垃圾邮件

在静态分析保护方面，2024年版本的Grandoreiro实施了增强的加密措施。与之前依赖于其他恶意软件中常见的共享加密算法不同，Grandoreiro现在采用了多层加密方法。新版本中的解密过程如下。首先，字符串通过一个简单的替换算法进行去混淆。随后，Grandoreiro采用了基于XOR和条件减法的加密算法，这是巴西恶意软件常用的方法；不过，它不同的是加入了一个长达 140759 字节的字符串，而不是我们在 2022 和 2023 样本中看到的较小的魔法字符串。随后，解密后的字符串经过 base64 解码，再通过 AES-256 算法进行解密。值得注意的是，AES 密钥和 IV 是在 Grandoreiro 的代码中加密的。完成所有这些步骤后，解密后的字符串就能成功恢复。

Grandoreiro的 AES 密钥和 IV

在新样本中，Grandoreiro再次升级了加密算法，使用了带有CTS（密文窃取）的AES。CTS是一种特殊的加密模式，用于当明文不是块大小的倍数时，在这种情况下，AES使用的是128位（16字节）的块大小。与更常见的填充方案（如PKCS#7）不同，在PKCS#7中，最后一个块通过添加额外的字节来填充，以确保它适合一个完整的块，CTS在不填充的情况下运行。相反，它通过加密最后一个完整块并将输出与部分块进行XOR操作来处理最后的数据块。这允许对任意长度的输入进行加密，而无需添加额外的填充字节，从而保留数据的原始大小。

CTS的ECB（电子密码本）加密步骤

在 Grandoreiro 的案例中，恶意软件的加密例程不会对不完整的数据块添加标准填充。它们的主要目的是使分析复杂化：发现使用了 CTS 需要时间，而在这种模式下实现解密需要更多时间，这使得字符串的提取和混淆变得更加复杂。这是首次在恶意软件样本中发现这种特殊方法。

随着威胁行为者不断改进其技术，在每次恶意软件迭代中改变加密方式，恶意软件中使用CTS可能标志着攻击者向更高级的加密实践的转变。

在最近的一次活动中，我们的分析发现了一种使用旧加密密钥、过时算法和简化结构的旧版恶意软件，但它与使用新代码的活动并行运行。该变种针对的银行数量较少，约有 30 家金融机构，主要来自墨西哥。此次分析的最重要发现是，有明确的迹象表明，另一位开发者（可能拥有旧版源代码的访问权限）正在使用恶意软件的旧版本来进行新的活动。

Grandoreiro背后的操作者可以使用各种远程命令，包括锁定用户屏幕并在屏幕上显示自定义图像（覆盖）以向受害者索取额外信息。这些信息通常是一次性密码（OTP）、交易密码或金融机构通过短信发送的令牌。

我们在2024年7月及之后发现的最新版本中发现了一种新战术，表明恶意软件正在捕捉用户的输入模式，特别是鼠标移动模式，以绕过基于机器学习的安全系统。在恶意软件中发现的两个特定字符串--“GRAVAR_POR_5S_VELOCIDADE_MOUSE_CLIENTE_MEDIA”（“记录 5 秒钟客户端的平均鼠标速度”）和 "Medição iniciada, aguarde 5 segundos! (测量开始，请等待 5 秒！"）表明 Grandoreiro 正在监控和记录用户在短时间内的鼠标活动。这种行为似乎是在试图模仿合法的用户交互，以躲避依赖行为分析的反欺诈系统和安全解决方案的检测。现代网络安全工具，特别是那些由机器学习算法驱动的工具，会分析用户的行为以区分人类用户和机器人或自动化的恶意软件脚本。通过捕捉并可能重放这些自然的鼠标移动模式，Grandoreiro可能会欺骗这些系统，使其将活动识别为合法的，从而绕过某些安全控制。

这一发现凸显了类似 Grandoreiro 这样的恶意软件的不断演变，攻击者越来越多地采用旨在对抗依赖行为生物识别和机器学习的现代安全解决方案的策略。

为了从受害者的账户中提现，Grandoreiro团伙的选项包括将资金转移到本地钱骡的账户，使用转账应用（如Wise），购买加密货币、礼品卡，甚至去ATM机取款。通常，他们会在Telegram频道中寻找钱骡，每天支付200至500美元：

Grandoreiro 运营者正在寻找拥有 Wise 账户的钱骡

最新版本的Grandoreiro使用了3个域名生成算法（DGA），生成用于命令和控制（C2）通信的有效域名。该算法使用当前时间从预定义列表中选择字符串，并将它们与魔法密钥关联以创建最终域名。

通过根据各种输入数据动态生成独特的域名，该算法使传统的基于域名的拦截策略变得更加复杂。这种适应性使恶意行为者即使在特定域名被识别并列入黑名单后，仍能保持持续的命令和控制通信，这就要求安全解决方案不是基于固定的域名列表，而是基于生成域名的算法来提供保护。

自2022年初以来，Grandoreiro利用一个在不同恶意软件家族中共享的已知Delphi组件——RealThinClient SDK——来远程访问受害者机器并执行欺诈行为。这个SDK是一个灵活且模块化的框架，用于使用Delphi构建可靠且可扩展的Windows HTTP/HTTPS应用程序。通过使用RealThinClient SDK，程序可以高效地以多线程方式处理数千个活动连接。

Grandoreiro的C2通信

Grandoreiro的运营工具允许网络犯罪分子远程访问和控制受害者的机器。它是一个基于Delphi的软件，每当受害者开始浏览目标金融机构网站时，它会列出其受害者。

Grandoreiro的运营工具

一旦网络犯罪分子选择了一个受害者进行操作，他们将看到以下屏幕，如下图所示，该屏幕允许执行许多命令以及查看受害者的桌面。

Grandoreiro运营工具可执行的命令

Grandoreiro 恶意软件的一个被忽视的功能就是攻击者所谓的 “云 VPS”——它允许网络罪犯在受害者的机器和恶意软件操作者之间建立一个网关计算机，从而隐藏罪犯的真实 IP 地址。

他们还利用这一点来加大调查难度，因为首先注意到的就是网关的 IP 地址。在扣押请求中，调查人员只会找到网关模块。与此同时，犯罪分子已经在其他地方设置了一个新的网关，新的受害者通过其DGA连接到新的网关。

Grandoreiro的云VPS

Grandoreiro银行木马准备窃取1500家金融机构的凭证，这些机构分布在45个国家和地区。解密恶意软件的字符串后，我们可以看到按国家和地区列出的目标银行。这并不意味着Grandoreiro会攻击列表中的特定银行，而是意味着他们已准备好窃取凭证并采取行动，前提是他们有能够操作并完成行动的当地合作伙伴或钱骡。Grandoreiro的目标银行位于阿尔及利亚、安哥拉、安提瓜和巴布达、阿根廷、澳大利亚、巴哈马、巴巴多斯、比利时、伯利兹、巴西、加拿大、开曼群岛、智利、哥伦比亚、哥斯达黎加、多米尼加共和国、厄瓜多尔、埃塞俄比亚、法国、加纳、海地、洪都拉斯、印度、科特迪瓦、肯尼亚、马耳他、墨西哥、莫桑比克、新西兰、尼日利亚、巴拿马、巴拉圭、秘鲁、菲律宾、波兰、葡萄牙、南非、西班牙、瑞士、坦桑尼亚、乌干达、英国、乌拉圭、美国和委内瑞拉。需要注意的是，不同版本的Grandoreiro银行木马所针对的目标银行列表略有变化。

从2024年1月至10月，我们的解决方案阻止了超过150,000次感染，影响了全球超过3万名用户，这清表明该组织仍然非常活跃。根据我们的遥测数据，受Grandoreiro感染最严重的国家包括墨西哥、巴西、西班牙和阿根廷等。

我们知道根除恶意软件家族有多么困难，但随着执法机构和私营部门之间合作的推进，对其运作产生影响是可能的，这也是打击现代金融网络犯罪的必要条件。

巴西银行木马已经成为一种国际威胁；它们只是填补了东欧犯罪团伙转移到勒索软件后留下的空白。我们知道在一些国家，桌面端的网上银行业务正在下降，这迫使Grandoreiro将目标转向仍然使用网上银行的公司和政府机构。

Grandoreiro银行恶意软件背后的威胁行为者不断发展他们的战术和恶意软件，以成功地对目标发起攻击并躲避安全解决方案。卡巴斯基将继续与国际刑警组织和世界各地的其他机构合作，打击互联网银行用户面临的Grandoreiro威胁。

卡巴斯基产品将这种威胁检测为HEUR:Trojan-Banker.Win32.Grandoreiro，Trojan-Downloader.OLE2.Grandoreiro, Trojan.PDF.Grandoreiro 和Trojan-Downloader.Win32.Grandoreiro。