Mặc dù, Grandoreiro được biết đến hoạt động chủ yếu tập trung vào Châu Mỹ Latinh, Tây Ban Nha và Bồ Đào Nha, nhưng việc mở rộng có thể là một sự thay đổi trong chiến lược sau những nỗ lực đóng cửa cơ sở hạ tầng của chính quyền Brazil.

Đi đôi với việc mở rộng phạm vi mục tiêu là những cải tiến đáng kể của Grandoreiro. Các nhà nghiên cứu bảo mật Golo Mühr và Melissa Frydrych cho biết: “Phân tích phần mềm độc hại này đã tiết lộ các cập nhật lớn trong thuật toán tạo tên miền (DGA), cũng như khả năng sử dụng ứng dụng khách Microsoft Outlook trên các máy chủ bị nhiễm để phát tán các email lừa đảo tiếp theo”.

Các cuộc tấn công bắt đầu bằng các email lừa đảo hướng dẫn người nhận, nhấp vào liên kết để xem hóa đơn hoặc thanh toán tùy thuộc vào bản chất của sự dụ dỗ và tổ chức chính phủ mạo danh trong tin nhắn.

Người dùng nhấp vào liên kết sẽ được chuyển hướng đến hình ảnh của biểu tượng PDF, cuối cùng dẫn đến việc tải xuống tệp lưu trữ ZIP có trình tải thực thi Grandoreiro.

Trình tải tùy chỉnh được giả tạo tăng lên hơn 100 MB để vượt qua phần mềm quét chống phần mềm độc hại. Nó cũng chịu trách nhiệm đảm bảo rằng máy chủ bị xâm nhập không ở trong môi trường hộp cát, thu thập dữ liệu cơ bản của nạn nhân đến máy chủ ra lệnh và kiểm soát (C2), đồng thời tải xuống và thực thi trojan ngân hàng chính.

Điều đáng nói là bước xác minh cũng được thực hiện để bỏ qua các hệ thống được định vị địa lý ở Nga, Séc, Ba Lan và Hà Lan, cũng như các máy Windows 7 có trụ sở tại Hoa Kỳ chưa cài đặt phần mềm chống virus.

Thành phần trojan bắt đầu thực thi bằng cách thiết lập tính bền vững thông qua Windows Register, sau đó nó sử dụng DGA được làm lại để thiết lập kết nối với máy chủ C2 nhằm nhận thêm hướng dẫn.

Grandoreiro hỗ trợ nhiều lệnh khác nhau cho phép kẻ tấn công điều khiển hệ thống từ xa, thực hiện các thao tác tệp và kích hoạt các chế độ đặc biệt, bao gồm một mô-đun mới thu thập dữ liệu Microsoft Outlook và lạm dụng tài khoản email của nạn nhân để gửi tin nhắn rác đến các mục tiêu khác.

Các ngân hàng trên toàn thế giới là mục tiêu của Grandoreiro

Các nhà nghiên cứu cho biết: “Để tương tác với máy khách Outlook cục bộ, Grandoreiro sử dụng công cụ Outlook Security Manager, một phần mềm được dùng để phát triển các phần bổ trợ của Outlook. Lý do là Outlook Object Model Guard kích hoạt cảnh báo bảo mật nếu nó phát hiện quyền truy cập vào các đối tượng được bảo vệ. Bằng cách sử dụng ứng dụng khách Outlook cục bộ để gửi thư rác, Grandoreiro có thể lây lan qua hộp thư đến của nạn nhân bị nhiễm qua email, điều này có thể góp phần tạo ra khối lượng thư rác lớn được quan sát từ Grandoreiro”.