O notório trojan bancário ‘Grandoreiro’ foi detectado em ataques recentes contra funcionários de um fabricante de produtos químicos na Espanha e trabalhadores de fabricantes de automóveis e máquinas no México.

O malware está ativo desde pelo menos 2017 e continua sendo uma das ameaças mais significativas desse tipo para usuários que falam espanhol. A campanha recente, descoberta por analistas da Zscaler, começou em junho de 2022 e ainda está em andamento.

Envolve a implantação de uma variante do malware Grandoreiro com vários novos recursos para evitar detecção e anti-análise, além de um sistema de comando e controle renovado.

A cadeia de infecção começa com um e-mail que finge ser originário da Procuradoria Geral da Cidade do México ou do Ministério Público espanhol, dependendo do alvo. O e-mail contém um link que redireciona as vítimas para um site que descarta um arquivo ZIP.

Esse arquivo inclui o módulo do carregador Grandoreiro disfarçado como um arquivo PDF para enganar a vítima e iniciá-lo. A campanha recente indica que os operadores do malware estão interessados em realizar ataques altamente direcionados em vez de enviar grandes volumes de e-mails de spam para destinatários aleatórios.