【安全圈】曾遭国际刑警“联合围剿”金融木马 Grandoreiro 死灰复燃，瞄准 1500 多家银行发动攻击

国际刑警组织于今年 1 月在巴西、西班牙进行了一次跨国执法行动，成功中断了金融木马 Grandoreiro 的运营。不过研究人员最近发现相关木马又死灰复燃，出现“再次活跃的迹象”。

根据 IBM 旗下安全团队 X-Force 报告，自 3 月以来，Grandoreiro 木马再次出现“大规模传播”迹象， 安全部门推测黑客组织可能通过租赁服务的方式，将这款木马以订阅制模式提供给其他黑客使用 。

研究人员指出，本次 Grandoreiro 木马影响范围广泛， 涉及中南美洲、非洲、欧洲等地超过 60 个国家，影响了全球超过 1500 家银行的客户 。

IT之家从报告中获悉，相关黑客冒充墨西哥税务管理局（SAT）、墨西哥联邦电力委员会（CFE）、墨西哥行政和财政部长、阿根廷税务局和南非税务局（SARS）等有关部门的名义，以收件人使用的母语发送钓鱼邮件，并以查看发票、财务报表或税务资料为名，诱导不知情的收件人点击邮件中的链接。一旦收信人按照指示操作，就会被引导下载恶意木马。

安全公司声称，最近出现的 Grandoreiro 版本与过去的版本有多处改进，黑客引入了 AES CBC 并结合自有算法进行数据加密，同时引入了域名生成算法（DGA）获取 C&C 服务器的 IP 地址，同时还内置一系列载入器防止安全公司在沙盒环境中检测木马行为。

此外，目前这款恶意木马攻击范围已经从“收集用户设备上的网银密钥”扩展到“收集用户数字货币钱包信息”，该木马还新增了一项自动传播机制， 会利用受害者设备上的 Outlook 客户端，使用受害者的邮件地址随机向其他人发送钓鱼邮件 。

END