Grandoreiro-Infostealer-Kampagne
4. August 2025
Von Samantha Clarke und dem Mimecast Threat Research Team
- Der Banking-Trojaner „Grandoreiro“ zielt auf Finanzinstitute und Nutzer in ganz Lateinamerika ab und breitet sich weltweit aus.
- Ausgeklügelte Phishing-Kampagnen geben vor, von staatlichen Steuerbehörden und Strafverfolgungsbehörden zu stammen.
- Eine geofence-gestützte Infrastruktur gewährleistet eine gezielte Bereitstellung in bestimmten Regionen. Mehrstufige Angriffe nutzen JavaScript-Funktionen und das Herunterladen von ZIP-Dateien aus.
- Zu den umfassenden Funktionen zur Datenexfiltration gehören Bankzugangsdaten und Informationen zu Kryptowährungs-Wallets.
Kampagnenübersicht
Samantha Clarke und das Mimecast Threat Research-Team haben aktive Kampagnen des Banking-Trojaners „Grandoreiro“ identifiziert, die eine erhebliche Bedrohung für Finanzinstitute und Privatanwender darstellen (intern als MCTO1022 erfasst). Grandoreiro ist ein bekannter brasilianischer Banking-Trojaner, der seit 2016 aktiv ist und es Angreifern ermöglicht, betrügerische Banktransaktionen durchzuführen. Diese ausgeklügelte Malware hat sich zu einer globalen Bedrohung entwickelt, wobei sich die jüngsten Kampagnen über ihren bisherigen Schwerpunkt in Lateinamerika hinaus ausgeweitet haben und nun auch Nutzer in Europa und Afrika ins Visier nehmen.
Die hinter Grandoreiro stehenden Angreifer werden intern unter der Kennung MCTO1023 erfasst. Diese Akteure führen ausgeklügelte Phishing-Kampagnen durch, bei denen sie sich als legitime staatliche Stellen ausgeben, insbesondere als Finanzämter und Strafverfolgungsbehörden. Sie nutzen diese Vorgehensweise, um Nutzer dazu zu verleiten, schädliche Dateien herunterzuladen. Dieser Social-Engineering-Ansatz nutzt das Vertrauen, das Nutzer von Natur aus in offizielle behördliche Mitteilungen setzen, um hohe Erfolgsraten beim Abgreifen von Zugangsdaten und beim Einschleusen von Malware zu erzielen.
Kampagnenthemen und Zielgruppenansprache
Die jüngsten Kampagnen von Grandoreiro zeugen von einem fundierten Verständnis der regionalen Verwaltungsstrukturen und der Verhaltensmuster der Nutzer. Die Angreifer setzen regionsspezifische Social-Engineering-Taktiken ein, die auf lokale Verwaltungsprozesse und offizielle Kommunikationskanäle abgestimmt sind – ähnlich wie bei Techniken, die bei anderen lateinamerikanischen Banktrojanern beobachtet wurden.
Hauptzielregionen:
- Lateinamerika: Brasilien, Mexiko, Argentinien, Spanien (Schwerpunkt)
- Ausweitung der Geschäftstätigkeit: Teile Europas und Afrikas
Nachgeahmte Rechtsträger:
- Bundesbehörde für öffentliche Einnahmen (AFIP) – Argentinien
- Zoll- und Steuerbehörde (ARCA) – Argentinien
- Ministerium für Finanzen und öffentliche Kredite (SHCP) – Mexiko
- Generaldirektion der Polizei – Spanien
- Finanzbehörden – Argentinien
- Finanzministerium – Mexiko
- Benachrichtigungen über polizeiliche Bußgeldbescheide – Spanien
Es wurden Fälle festgestellt, in denen sich Personen als „Administración Federal de Ingresos Públicos“ ausgaben.
sowie das Ministerium für Finanzen und öffentliche Kredite.
Technische Infrastruktur und Ablauf des Angriffs
Die „Grandoreiro“-Kampagne nutzt ausgefeilte Geofencing-Techniken, um sicherzustellen, dass schädliche Inhalte ausschließlich an Nutzer in den Zielländern übermittelt werden. Die Infrastruktur nutzt Subdomains von contaboserver.net, die speziell so konfiguriert sind, dass Nutzern außerhalb der vorgesehenen geografischen Regionen der Zugriff verwehrt wird, wodurch die Infektionsraten maximiert und gleichzeitig das Risiko einer Entdeckung durch Sicherheitsforscher minimiert werden. Dieser mehrschichtige Ansatz stellt sicher, dass die Malware ausschließlich an die beabsichtigten Opfer gelangt und gleichzeitig automatisierte Sicherheitsscans umgeht.
Der Angriffsablauf umfasst JavaScript-Funktionen, die eine Browserüberprüfung durchführen, bevor die nächste Stufe des Angriffs über eine gehostete PDF-Datei ausgelöst wird, was in der Regel den Download einer schädlichen ZIP-Datei beinhaltet.
Die Nutzlast führt anschließend eine EXE-Datei aus, die eine Verbindung zu einer auf AWS gehosteten C2-IP-Adresse herstellt. Im Rahmen unserer Untersuchung wurden Elemente festgestellt, die mit der primären schädlichen Webseite in Zusammenhang stehen.
Im Rahmen unserer Ermittlungen wurde das Mailer-Panel entdeckt, das zum Versenden der Phishing-E-Mails an die Opfer verwendet wurde.
Für Nicht-Windows-Geräte sind Umleitungsmechanismen eingerichtet, die die Übertragung der Nutzlast verhindern. Dies verdeutlicht die Ausrichtung auf Windows-basierte Umgebungen, in denen die Malware ihre maximale Wirksamkeit entfalten kann. Für Geräte, die nicht auf Windows basieren, lautet die Meldung: „Dieser Inhalt ist ausschließlich für Geräte verfügbar, die unter dem Windows-System laufen, wie beispielsweise Laptops und Computer.“
Die aus der exponierten Infrastruktur gewonnenen Erkenntnisse verdeutlichen das Ausmaß der Bedrohungsaktion. Die Analyse kompromittierter VPS-Systeme hat eine Infrastruktur für Spam-Tests aufgedeckt, die E-Mail-Adressen aus mehreren lateinamerikanischen Ländern umfasst, darunter Argentinien, Mexiko, Brasilien, Peru, Spanien, Chile, Bolivien, Ecuador, Paraguay, Uruguay und Venezuela. Dies deutet auf koordinierte Maßnahmen in der gesamten Region hin, die das Potenzial für eine weitere Ausweitung bergen. Die hinter den Angriffen stehenden Akteure halten sich an ausgefeilte Sicherheitsvorkehrungen und zeigen gleichzeitig die klare Absicht, ihre Angriffsziele über die traditionellen lateinamerikanischen Grenzen hinaus auszuweiten.
Fähigkeiten zur Datenexfiltration
Grandoreiro verfügt über umfassende Funktionen zur Datenerfassung, die über herkömmliche Bankzugangsdaten hinausgehen und Folgendes umfassen:
Mimecast-Schutz
Mimecast hat umfassende Erkennungsfunktionen implementiert, um E-Mails im Zusammenhang mit Grandoreiro-Kampagnen zu identifizieren und zu blockieren. Unser Team für Bedrohungsforschung beobachtet weiterhin Veränderungen bei den Taktiken und Techniken dieser Angreifer, um sicherzustellen, dass unsere Kunden auch vor sich weiterentwickelnden Angriffsvektoren geschützt bleiben.
Ziele:
Vorwiegend Finanzinstitute und Privatkunden in ganz Lateinamerika, wobei die Geschäftstätigkeit zunehmend auf ähnliche Zielgruppen in Europa und Afrika ausgeweitet wird.
Indikatoren für eine Kompromittierung (IOCs)
Schädliche Infrastruktur:
- vmi2664683[.]contaboserver[.]net
- vmi2670907[.]contaboserver[.]net
- vmi2664683[.]contaboserver[.]net
Datei-Hashes:
- ZIP-Datei: d2b051084d2401c3d826606db8689bba7485061cc1102690d529edb25ddf48fc
- VBS-Datei: 6f7eb90f33d87a5765a29f696e33ec7958f272225add6e4a1dc7994cd32f63f3
Gängige Köder:
- Schreiben der Steuerbehörde
- Behördliche Mitteilungen zur Einhaltung von Vorschriften
- Strafzettel der Strafverfolgungsbehörden
- Mitteilungen der Finanzbehörde
Empfehlungen
Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen:
- Klären Sie die Nutzer über die Vorgehensweisen von Betrügern auf, die sich als Behörden ausgeben
- Führen Sie regelmäßig Phishing-Simulationen durch, die Themen rund um Steuerbehörden und Strafverfolgungsbehörden einbeziehen
- Schulen Sie die Nutzer darin, behördliche Mitteilungen über offizielle Kanäle zu überprüfen, bevor sie Maßnahmen ergreifen.
Netzwerksicherheit:
- Überwachung von Verbindungen zu Subdomains von contaboserver.net
- Führen Sie gegebenenfalls geografische Zugriffskontrollen ein
Proaktive Bedrohungssuche:
- Durchsuchen Sie die Protokolle der E-Mail-Empfangsbestätigungen nach passenden Ködern
- Überwachen Sie JavaScript-basierte Weiterleitungsmuster, die mit den Kampagnen von Grandoreiro übereinstimmen
- Untersuchen Sie ungewöhnliche Downloads von ZIP-Dateien aus externen Systemen