Campagna di furto di dati Grandoreiro
4 agosto 2025
Di Samantha Clarke e il team di ricerca sulle minacce di Mimecast
- Il trojan bancario Grandoreiro prende di mira gli istituti finanziari e gli utenti in tutta l’America Latina e si sta espandendo a livello globale.
- Campagne di phishing particolarmente sofisticate si spacciano per agenzie fiscali governative e forze dell’ordine.
- L'infrastruttura basata su geofence garantisce una distribuzione mirata in regioni specifiche. Gli attacchi in più fasi sfruttano le funzioni JavaScript e il download di file ZIP.
- Le funzionalità complete di esfiltrazione dei dati comprendono le credenziali bancarie e le informazioni relative ai portafogli di criptovalute.
Panoramica della campagna
Samantha Clarke e il team di ricerca sulle minacce di Mimecast hanno individuato campagne attive del trojan bancario Grandoreiro che rappresentano una minaccia significativa per gli istituti finanziari e gli utenti privati (identificate internamente come MCTO1022). Grandoreiro è un noto trojan bancario brasiliano attivo dal 2016 che consente agli autori delle minacce di effettuare transazioni bancarie fraudolente. Questo sofisticato malware si è trasformato in una minaccia globale, con campagne recenti che si sono estese oltre il suo tradizionale ambito di azione in America Latina per prendere di mira utenti in Europa e in Africa.
Gli autori delle minacce alla base di Grandoreiro sono identificati internamente con il codice MCTO1023. Questi soggetti ricorrono a sofisticate campagne di phishing in cui si spacciano per enti governativi legittimi, in particolare agenzie fiscali e forze dell’ordine. Utilizzano questo metodo per indurre gli utenti a scaricare file dannosi. Questo approccio di ingegneria sociale sfrutta la fiducia intrinseca che gli utenti ripongono nelle comunicazioni ufficiali delle autorità pubbliche per ottenere elevati tassi di successo nella raccolta delle credenziali e nella diffusione di malware.
Temi della campagna e target di riferimento
Le recenti campagne condotte da Grandoreiro hanno dimostrato una comprensione approfondita delle strutture amministrative regionali e dei modelli di comportamento degli utenti. Gli autori delle minacce ricorrono a tattiche di ingegneria sociale specifiche per ciascuna regione, in linea con le procedure amministrative locali e i canali di comunicazione ufficiali, analogamente alle tecniche osservate in altri trojan bancari latinoamericani.
Regioni di riferimento principali:
- America Latina: Brasile, Messico, Argentina, Spagna (area di interesse principale)
- Espansione delle attività: alcune regioni dell’Europa e dell’Africa
Entità di cui si è usurpata l'identità:
- Amministrazione federale delle entrate pubbliche (AFIP) - Argentina
- Agenzia per la riscossione e il controllo doganale (ARCA) - Argentina
- Segreteria delle Finanze e del Credito Pubblico (SHCP) - Messico
- Direzione Generale della Polizia - Spagna
- Agenzie fiscali - Argentina
- Ministero delle Finanze - Messico
- Notifiche relative alle contravvenzioni della polizia – Spagna
Sono stati individuati casi in cui si finge di essere l’Administración Federal de Ingresos Públicos.
E il Ministero delle Finanze e del Credito Pubblico.
Infrastruttura tecnica e sequenza dell'attacco
La campagna Grandoreiro utilizza sofisticate tecniche di geofencing per garantire che i contenuti dannosi vengano distribuiti esclusivamente agli utenti dei paesi interessati. L'infrastruttura utilizza sottodomini di contaboserver.net configurati specificatamente per negare l'accesso agli utenti al di fuori delle aree geografiche previste, massimizzando così i tassi di infezione e riducendo al minimo l'esposizione ai ricercatori di sicurezza. Questo approccio articolato garantisce che il malware venga distribuito esclusivamente alle vittime designate, eludendo al contempo i sistemi automatici di scansione di sicurezza.
La sequenza dell'attacco prevede l'utilizzo di funzioni JavaScript che effettuano una verifica del browser prima di passare alla fase successiva dell'attacco tramite un file PDF ospitato, che comporta in genere il download di un file ZIP dannoso.
Il payload eseguirà quindi un file .EXE che si ricollega a un indirizzo IP C2 ospitato su AWS. Nel corso della nostra indagine sono stati individuati elementi correlati alla pagina web dannosa principale.
Nel corso delle nostre indagini, è stato individuato il panel di invio utilizzato per inviare le e-mail di phishing alle vittime.
Per i dispositivi non Windows, sono stati predisposti meccanismi di reindirizzamento che impediscono la distribuzione del payload, a dimostrazione dell’attenzione rivolta agli ambienti basati su Windows, dove il malware può raggiungere la massima efficacia. Per i dispositivi non basati su Windows, il messaggio recita: «Questo contenuto è disponibile esclusivamente per i dispositivi che funzionano con il sistema Windows, come laptop e computer».
Le informazioni raccolte dalle infrastrutture esposte rivelano la portata dell’operazione di minaccia. L'analisi dei sistemi VPS compromessi ha portato alla luce un'infrastruttura utilizzata per testare lo spam, contenente indirizzi e-mail provenienti da diversi paesi dell'America Latina, tra cui Argentina, Messico, Brasile, Perù, Spagna, Cile, Bolivia, Ecuador, Paraguay, Uruguay e Venezuela. Ciò fa supporre l'esistenza di operazioni coordinate in tutta la regione, con possibilità di un'ulteriore espansione. I gruppi che rappresentano una minaccia adottano sofisticate misure di sicurezza operativa, dimostrando al contempo la chiara intenzione di estendere i propri obiettivi oltre i confini tradizionali dell’America Latina.
Capacità di esfiltrazione dei dati
Grandoreiro dimostra capacità complete di raccolta dati che vanno oltre le credenziali bancarie tradizionali e includono:
Protezione Mimecast
Mimecast ha implementato funzionalità di rilevamento complete per identificare e bloccare le e-mail associate alle campagne di Grandoreiro. Il nostro team di ricerca sulle minacce continua a monitorare i cambiamenti nelle tattiche e nelle tecniche utilizzate da questi autori di minacce, al fine di garantire che i nostri clienti rimangano protetti dai vettori di attacco in continua evoluzione.
Obiettivi:
Si tratta prevalentemente di istituzioni finanziarie e utenti privati in tutta l’America Latina, con attività in espansione rivolte a segmenti demografici simili in Europa e in Africa.
Indicatori di compromissione (IOC)
Infrastruttura dannosa:
- vmi2664683[.]contaboserver[.]net
- vmi2670907[.]contaboserver[.]net
- vmi2664683[.]contaboserver[.]net
Hash dei file:
- File ZIP: d2b051084d2401c3d826606db8689bba7485061cc1102690d529edb25ddf48fc
- File VBS: 6f7eb90f33d87a5765a29f696e33ec7958f272225add6e4a1dc7994cd32f63f3
Esche comuni:
- Corrispondenza con l'agenzia delle entrate
- Notifiche relative alla conformità alle disposizioni governative
- Contravvenzioni delle forze dell'ordine
- Comunicazioni dell'Agenzia delle Entrate
Raccomandazioni
Formazione sulla sensibilizzazione alla sicurezza degli utenti:
- Informare gli utenti sulle tattiche utilizzate per spacciarsi per enti governativi
- Effettuare simulazioni periodiche di phishing incentrate su tematiche relative all’agenzia delle entrate e alle forze dell’ordine
- Si invitano gli utenti a verificare le comunicazioni delle autorità attraverso i canali ufficiali prima di agire.
Sicurezza di rete:
- Monitoraggio delle connessioni ai sottodomini di contaboserver.net
- Attuare controlli di accesso basati sulla posizione geografica, ove opportuno
Ricerca proattiva delle minacce:
- Cercare nei registri delle ricevute e-mail le esche corrispondenti
- Monitorare i modelli di reindirizzamento basati su JavaScript che corrispondono alle campagne di Grandoreiro
- Indagare sui download insoliti di file ZIP provenienti da infrastrutture esterne