Os atores por trás do cavalo de troia bancário Grandoreiro, voltado para sistemas Windows, retornaram em uma campanha global desde março de 2024, após uma operação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros cibercriminosos via um modelo de malware como serviço (MaaS), têm como alvo mais de 1.500 bancos em mais de 60 países na América Central e do Sul, África, Europa e Indo-Pacífico, de acordo com a IBM X-Force.

Embora o Grandoreiro seja conhecido principalmente por sua atuação na América Latina, Espanha e Portugal, a expansão indica uma mudança de estratégia após tentativas de desmantelar sua infraestrutura pelas autoridades brasileiras. Com essa expansão de alvo, vêm melhorias significativas no malware, indicando desenvolvimento ativo.Análises do malware revelaram atualizações importantes na descriptografia de strings e no algoritmo de geração de domínios (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing.

Os ataques começam com e-mails de phishing que instruem os destinatários a clicar em um link para visualizar uma fatura ou fazer um pagamento, dependendo do tipo de isca e da entidade governamental imitada nas mensagens.

Usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando ao download de um arquivo ZIP com o executável do carregador do Grandoreiro. O Grandoreiro suporta uma variedade de comandos que permitem aos atores de ameaça comandar remotamente o sistema, realizar operações de arquivo e habilitar modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam a outros alvos.