In ciuda arestarii unor operatori importanti la inceputul anului 2024, Grandoreiro continua sa fie folosit de partenerii sai in noi campanii. Echipa Kaspersky Global Research and Analysis (GReAT) a descoperit o noua versiune simplificata, axata pe Mexic, care vizeaza aproximativ 30 de banci. Ramanand una dintre cele mai active amenintari la nivel global si vizand utilizatorii a peste 1.700 de banci, variantele Grandoreiro reprezinta aproximativ cinci la suta din atacurile troienilor bancari din acest an.  Mexicul este una dintre cele mai vizate tari de diferite tulpini Grandoreiro, inclusiv noua versiune, inregistrand 51.000 de incidente inregistrate in acest an.
 
Dupa ce a participat la o actiune coordonata de INTERPOL, care a determinat autoritatile braziliene sa aresteze infractorii din spatele unei operatiuni Grandoreiro, Kaspersky a descoperit ca codul sursa al grupului a fost impartit in versiuni fragmentate ale troianului, pentru continuarea atacurilor. Analiza recenta a identificat o versiune simplificata, specifica, axata in principal pe Mexic, care a fost folosita pentru a viza aproximativ 30 de institutii financiare. Creatorii probabil au acces la codul sursa si lanseaza noi campanii folosind malware-ul simplificat.
 
„Toate evolutiile recente subliniaza natura evolutiva a amenintarii. Versiunile fragmentate si mai simple pot reprezenta o tendinta care s-ar putea extinde dincolo de Mexic si in alte regiuni, inclusiv dincolo de America Latina. Cu toate acestea, credem ca doar unele entitati afiliate de incredere au acces la codul sursa de malware pentru a dezvolta astfel de versiuni. Grandoreiro functioneaza diferit de modelul traditional «Malware-as-a-Service» cu care suntem obisnuiti. Nu veti gasi anunturi pe forumurile underground care vand pachetul Grandoreiro; in schimb, accesul la acesta pare a fi limitat”, explica Fabio Assolini, Head of the Latin American (GReAT) Kaspersky.
 
Variante multiple de Grandoreiro, inclusiv noua versiune simplificata si programul malware principal, au generat aproximativ cinci procente din totalul atacurilor cu troieni bancari detectate de Kaspersky in 2024 la nivel global, acestea fiind cele mai active amenintari. Kaspersky a analizat, de asemenea, mostrele mai noi ale Grandoreiro primar din 2024 si a observat noi tactici. Acesta inregistreaza activitatea mouse-ului pentru a imita comportamentele reale ale utilizatorilor, urmarind sa evite detectarea de catre sistemele de securitate bazate pe invatarea automata care analizeaza comportamentul. Prin reluarea miscarilor naturale ale mouse-ului, malware-ul urmareste sa pacaleasca instrumentele antifrauda, facandu-le sa vada activitatea ca fiind legitima.

In plus, Grandoreiro a adoptat o tehnica criptografica cunoscuta sub numele de Ciphertext Stealing (CTS), pe care Kaspersky nu a vazut-o niciodata folosita in malware. In acest caz, scopul sau este de a cripta sirurile de coduri rau intentionate. „Grandoreiro are o structura mare si complexa, care ar permite instrumentelor de securitate sau analistilor sa-ldetecteze daca sirurile sale nu sunt criptate. Acesta este probabil motivul pentru care au introdus aceasta noua tehnica – pentru a complica detectarea si analiza atacurilor lor”, a explicat Fabio Assolini.
 
Datele Kaspersky indica faptul ca Grandoreiro este activ din 2016. In 2024, amenintarea a tintit peste 1.700 de institutii financiare si 276 de portofele cu criptomonede din 45 de tari si teritorii, adaugand in cele din urma Asia si Africa pe lista tintelor sale, aceste incidente transformandu-l intr-o amenintare financiara cu adevarat globala.

comunicat