新的Grandoreiro银行木马攻击活动针对拉丁美洲和欧洲

Grandoreiro银行木马再次出现在针对拉丁美洲和欧洲用户的新攻击活动中。

网络安全公司 Forcepoint 报告称，Grandoreiro 银行木马再次出现在针对拉丁美洲和欧洲用户的新一轮网络钓鱼活动中。

该木马至少自 2016 年开始活跃，最初仅在巴西运行，但在大约五年前观察到的一系列攻击中开始针对墨西哥、葡萄牙和西班牙。

据信，该公司采用恶意软件即服务 (MaaS) 商业模式运营，是Tetrade 旗下的一部分，该公司似乎在 2021 年和 2024 年的执法打击行动中安然无恙，其多名运营商 也遭到逮捕。

2024 年初，Grandoreiro被发现针对 60 多个国家的 1,500 多个银行应用程序和网站，冒充阿根廷、墨西哥和南非政府实体。

到今年第四季度，该恶意软件已将目标锁定在1,700 家银行和 276 个加密钱包，并将亚洲也纳入其目标名单，成为真正的全球金融威胁。

最近，Forcepoint 观察到网络钓鱼活动，其中银行木马冒充税务机构窃取阿根廷、墨西哥和西班牙用户的资金，依靠指向合法托管服务提供商 Contabo 的恶意链接。

受害者会收到混淆的 Visual Basic 脚本以及伪装的基于 Delphi 的可执行文件，旨在窃取他们的凭证，并使用加密或密码保护的压缩文件来逃避检测。

这些网络钓鱼电子邮件利用 OVHcloud 云基础设施，伪装成税务罚款警告，并以 PDF 文档的形式从文件共享服务 Mediafire 获取有效负载。

Forcepoint 指出：“一旦执行，恶意软件就会窃取凭证、搜索比特币钱包目录并连接到 [命令和控制] 服务器。攻击者经常更改 contaboserver[.]net 下的子域名以逃避检测。用户应保持谨慎，避免使用未知电子邮件，并使用网络安全工具来防范这些威胁。”