Novas variantes do malware bancário Grandoreiro estão adotando táticas avançadas para evitar a detecção, mostrando que o software malicioso continua em desenvolvimento ativo, apesar dos esforços das autoridades para desmantelar a operação. De acordo com uma análise da Kaspersky publicada nesta terça-feira, embora parte da gangue responsável tenha sido presa, os operadores remanescentes continuam a atacar usuários globalmente, desenvolvendo novas versões do malware e estabelecendo novas infraestruturas. Entre as novas táticas identificadas estão o uso de um algoritmo de geração de domínios (DGA) para comunicações de comando e controle (C2), encriptação de roubo de cifras (CTS) e rastreamento do mouse. Também foram observadas versões mais leves e locais, focadas especificamente em clientes bancários no México.

O Grandoreiro, ativo desde 2016, evoluiu ao longo do tempo para evitar a detecção e ampliou seu alcance geográfico para a América Latina e Europa. O malware é capaz de roubar credenciais de 1.700 instituições financeiras em 45 países. O Grandoreiro é distribuído principalmente por meio de e-mails de phishing, além de anúncios maliciosos no Google. O ataque começa com um arquivo ZIP contendo um arquivo legítimo e um carregador MSI responsável por baixar e executar o malware. Em campanhas observadas em 2023, os atacantes têm utilizado executáveis portáteis extremamente grandes, com cerca de 390 MB, disfarçados de drivers de SSD da AMD para evitar detecções automáticas e escapar de sandboxes.

As últimas versões do Grandoreiro receberam atualizações significativas, como a capacidade de se autoatualizar, registrar teclas digitadas, selecionar o país das vítimas, enviar e-mails de spam via Outlook e monitorar e-mails por palavras-chave específicas. O malware também captura movimentos do mouse, tentando imitar o comportamento do usuário para enganar sistemas antifraude e fazer com que a atividade pareça legítima.