Nonostante l'arresto di alcuni operatori chiave all'inizio del 2024, Grandoreiro continua a essere utilizzato in nuove campagne da parte dei suoi affiliati. Il Global Research and Analysis team (GReAT) di Kaspersky ha scoperto una nuova versione "light" del trojan bancario, mirata al Messico, che ha coinvolto circa 30 banche. Questi risultati sono stati presentati al Security Analyst Summit (SAS) 2024. Grandoreiro, che resta una delle minacce più attive a livello globale, ha preso di mira gli utenti di oltre 1.700 banche ed è responsabile di circa il 5% degli attacchi con trojan bancari rilevati quest'anno. Il Messico, in particolare, è uno dei Paesi più colpiti, con 51.000 incidenti registrati, inclusi quelli legati alla nuova versione "light".
In seguito all'azione coordinata dall'INTERPOL, che ha portato all'arresto degli operatori responsabili della campagna Grandoreiro da parte delle autorità brasiliane, Kaspersky ha scoperto che il codice del trojan è stato suddiviso in versioni più piccole e frammentate, consentendo ai criminali di proseguire gli attacchi. Le recenti analisi hanno individuato una variante leggera indirizzata principalmente al Messico, che è stata utilizzata per colpire circa 30 istituti finanziari. Gli autori di questa variante sembrano avere accesso al codice sorgente del malware, permettendo loro di lanciare nuove campagne basate su una versione semplificata.
“Tutti questi sviluppi evidenziano la continua evoluzione della minaccia. Versioni frammentate e leggere potrebbero rappresentare una tendenza destinata a diffondersi anche al di fuori del Messico, estendendosi ad altre regioni, compresa l'America Latina. Tuttavia, crediamo che solo alcuni affiliati fidati abbiano accesso al codice sorgente del malware per sviluppare queste varianti. Grandoreiro opera in modo diverso rispetto al tradizionale modello 'Malware-as-a-Service'. Non si trovano annunci sui forum clandestini per la vendita del pacchetto Grandoreiro; l'accesso sembra essere piuttosto circoscritto”, ha dichiarato Fabio Assolini, Head of the Latin American (GReAT) di Kaspersky.
Diverse varianti di Grandoreiro, tra cui la nuova versione "light" e il malware originale, hanno rappresentato circa il 5% degli attacchi con trojan bancari rilevati da Kaspersky nel 2024, rendendo questa minaccia una delle più attive a livello mondiale. Kaspersky ha analizzato anche i nuovi campioni della versione originaria di Grandoreiro del 2024, osservando nuove tattiche adottate dal malware. Tra queste, la registrazione dell'attività del mouse per simulare il comportamento reale dell'utente, con l'obiettivo di eludere i sistemi di sicurezza basati sull'intelligenza artificiale. Riproducendo i movimenti naturali del mouse, il malware cerca di ingannare gli strumenti antifrode, facendo apparire le sue attività come legittime.
Inoltre, Grandoreiro ha introdotto una tecnica di crittografia avanzata nota come Ciphertext Stealing (CTS), che Kaspersky non aveva mai rilevato in altri malware. Questa tecnica viene utilizzata per criptare le stringhe di codice malevolo, rendendo più difficile per gli strumenti di sicurezza e gli analisti individuare il trojan. “Grandoreiro ha una struttura ampia e complessa, che sarebbe più facile da rilevare per gli strumenti di sicurezza o gli analisti se le sue stringhe non fossero criptate. L'adozione di questa nuova tecnica mira a ostacolare il rilevamento e l'analisi degli attacchi”, ha aggiunto Fabio Assolini.
I dati di Kaspersky indicano che Grandoreiro è attivo dal 2016. Nel 2024, la minaccia ha preso di mira più di 1.700 istituzioni finanziarie e 276 portafogli di criptovalute in 45 Paesi e territori, espandendo il proprio raggio d'azione anche in Asia e Africa e confermandosi come una minaccia finanziaria globale.
Per ulteriori informazioni è possibile consultare il report su Securelist.