Изучающее кибератаки подразделение корпорации IBM X-Force сообщило о возобновлении с начала мая атак банковского троянца Grandoreiro. Новость неприятна и сама по себе, но неприятна вдвойне, если учесть, что в январе нынешнего года правоохранительные органы Бразилии и Испании совместно со специалистами Интерпола, компании ESET и одного из крупнейших испанских банков Caixa Bank провели масштабную операцию по ликвидации группировки, стоящей за атаками этого вредоносного ПО, и объявили о пресечении ее деятельности.

Grandoreiro – банковский троянец, атаковавший испано- и португалоговорящих пользователей с 2017 года. Ущерб от его активности оценивался не менее чем в 120 миллионов долларов. В ходе январской операции в Бразилии были проведены 13 обысков и осуществлены 5 арестов. Правда, о роли арестованных в атаках Grandoreiro ничего не сообщалось. И теперь приходится признать, что эта роль была, мягко говоря, не ключевой. Потому что новые атаки Grandoreiro стали намного более масштабными, а сам зловред - существенно более изощренным.

Теперь киберпреступники очевидно действуют по модели «вредоносное ПО как услуга» (Malware-as-a-Service - MaaS), сдавая свой зловред в аренду. В результате троянец распространяется посредством ссылок и вложений в фишинговых сообщениях более чем в 60 странах мира и угрожает клиентам 1500 банков. Причем к испано- и португалоговорящим странам теперь добавились и англоговорящие. Сообщения на вполне грамотном языке каждой из стран рассылаются якобы от имени правительственных учреждений и налоговых органов. Сам зловред получил улучшенную систему шифрования коммуникаций с командными серверами и многочисленные новые возможности, включая клавиатурный шпионаж и способность атаковать криптовалютные кошельки.

Также следует добавить, что теперь Grandoreiro составляет детальный профиль системы жертвы, чтобы хакер мог решить, следует ли ему атаковать именно этого пользователя. Кроме того, запуск исполняемого файла троянца по умолчанию заблокирован в ряде стран, включая Россию, Нидерланды, Польшу и Чехию.