Восьмого апреля 2026 года на площадке MalwareBazaar появился образец BAT-файла размером 951 байт, который оказался лишь началом многоступенчатой атаки, нацеленной на клиентов крупнейших бразильских банков. Исследователи быстро установили, что за этой кампанией стоит семейство банковских троянов Grandoreiro, которое давно известно своей изощрённостью и ориентацией на бразильский финансовый сектор. Специалисты зафиксировали живую инфраструктуру - вредоносные файлы по-прежнему доступны для скачивания с командного сервера, а домен, использовавшийся для распространения, был зарегистрирован ещё в декабре 2025 года, то есть злоумышленники готовили атаку почти четыре месяца.
Описание
Злоумышленники применили комбинированную тактику, сочетающую социальную инженерию и технические приёмы обхода защитных механизмов. Первая стадия представляет собой трёхстраничную цепочку, размещённую на домене canalmodup.com. Посетитель видит поддельную форму reCAPTCHA с надписью "Não sou um robô" (я не робот). При нажатии на неё срабатывает JavaScript-код, который копирует в буфер обмена команду PowerShell. Через 2,5 секунды страница перенаправляет пользователя на вторую страницу под названием "Confirmação necessária". Там жертве предлагается нажать Win+R, ввести cmd, нажать Shift+Ctrl+Enter для запуска командной строки от имени администратора, затем вставить скопированную команду и нажать Enter. Таким образом пользователь сам запускает вредоносный код, обходя большинство политик выполнения скриптов и защитных меток.
После выполнения команды начинается загрузка основного вредоносного компонента - двух файлов: g2mstart.exe и g2m.dll. Они сохраняются в каталог C:\ProgramData\MSDefender\. Затем BAT-файл добавляет исключения для защитника Windows, чтобы эти файлы не проверялись, и прописывает себя в автозагрузку через реестр. Третья страница цепочки имитирует модуль безопасности Warsaw, используемый бразильским банком Caixa Econômica Federal. Жертве сообщают об ошибке обновления модуля и предлагают зайти на сайт интернет-банкинга для завершения процедуры. К этому моменту вредоносная программа уже установлена, а пользователя направляют прямо в банковскую сессию, где троян перехватит введённые данные.
Ключевой технический приём - DLL-загрузка через легитимные подписанные исполняемые файлы. Исследователи обнаружили два таких набора. Первый - g2mstart.exe, оригинальный файл программы GoToMeeting версии 10.18.0 от компании LogMeIn, подписанный сертификатом DigiCert (срок действия истёк в ноябре 2021 года, но сам файл остаётся валидным). Этот исполняемый файл импортирует функцию g2mcomm_winmain из библиотеки g2m.dll, которая и является вредоносной. Второй набор - Flexpcis.exe от Nero WiFi+Transfer (подписан Nero AG) и его компаньон Drivespan.dll. Оба легитимных файла не обнаруживаются антивирусами (0 из 75 на VirusTotal), а вот их вредоносные копии уже известны. В частности, предшествующая версия Drivespan.dll имела детекцию 46 из 76.
Внутреннее устройство g2m.dll (размер 43,7 МБ, скомпилирована 29 марта 2026 года на Embarcadero RAD Studio) выдаёт принадлежность к Grandoreiro. Почти 93% объёма файла занимают встроенные изображения банковских интерфейсов: 38 растровых накладок и 29 PNG-экранов. Все они имитируют легитимные модули безопасности бразильских банков - GAS Tecnologia, Topaz OFD Anti-Fraud Intelligence и Trusteer IBM. Троян использует Windows Magnification API для захвата экрана, а для связи с командным сервером встроен клиент libcurl. В коде присутствуют Delphi-классы с португальскими именами, типичные для Grandoreiro: TClientePrincipal (основной клиент C2), TClienteCmd (удалённое выполнение команд), TClienteViewer (удалённый просмотр экрана) и семь классов TTNT_* для накладок на интерфейсы банков.
Целевой список включает восемь бразильских банков: Banco do Brasil, Bradesco, Caixa Econômica Federal, Itaú Unibanco, Santander, Sicoob, Sicredi и Unicred. Для каждого банка подготовлены специализированные накладки, перехватывающие различные данные: коды подтверждения BB, электронные подписи, пароли от карт, QR-коды для системы PIX и серийные номера устройств. Например, для Banco do Brasil заготовлены четыре накладки плюс одна для перехвата QR-кода BB, а для Bradesco - пять накладок с имитацией проверки ключа безопасности.
Сервер управления и команды (C2) расположен по адресу 177.136.230[.]88, принадлежащему бразильскому провайдеру EVEO S.A. (AS53107). На момент публикации отчёта сервер оставался активным. На нём открыты порты 22 (SSH), 80 и 443 (Apache). Папка /modulo/, откуда скачиваются вредоносные файлы, возвращает 403 ошибку при попытке просмотра, но отдельные файлы внутри неё доступны напрямую - это свидетельствует о неверной конфигурации, а не о сознательной защите.
Домен canalmodup.com зарегистрирован через итальянского регистратора Register SPA, а владелец указал португальскую локацию - пригород Лиссабона. Для DNS используются сервера Cloudflare, а сертификат TLS выдан Let's Encrypt. Примечательно, что все страницы цепочки ClickFix используют один и тот же идентификатор аналитики Cloudflare, что позволяет легко выявлять связанные ресурсы.
Аналитики с высокой степенью уверенности относят эту кампанию к семейству Grandoreiro. Все характерные признаки совпадают: разработка на Delphi, DLL-загрузка через подписанные исполняемые файлы (использование GoToMeeting в Grandoreiro документировано с 2023 года), названия классов TTNT_*, имитация GAS Tecnologia и Topaz OFD, а также перехват PIX-кодов - функция, добавленная операторами в 2024 году. Кроме того, анализ показал, что это лишь одна из линий распространения. Всего обнаружено девять связанных образцов, общающихся с тем же C2, которые используют как минимум пять различных механизмов доставки: BAT-файлы, VBS-сценарии, маскирующиеся под электронные счета DANFE, MSI-установщики и прямые исполняемые файлы.
Для защитников информационной безопасности ключевыми индикаторами компрометации являются IP-адрес и домен, которые необходимо заблокировать на периметре. Стоит отслеживать появление каталога C:\ProgramData\MSDefender\ и любые попытки добавления исключений для защитника Windows, ссылающихся на этот путь. Также следует обращать внимание на процессы g2mstart.exe и Flexpcis.exe, загружающие DLL из нестандартных расположений. Аналитики могут использовать идентификатор Cloudflare для поиска дополнительных страниц ClickFix.
Рядовым пользователям стоит помнить, что легитимные системы никогда не просят вручную копировать команды в буфер обмена и запускать их от имени администратора. Любой сайт, требующий таких действий, почти наверняка является мошенническим. Бразильским банкам и их клиентам следует проявлять повышенную осторожность, так как данная кампания продолжает развиваться, а инфраструктура остаётся работоспособной.
Индикаторы компрометации
IPv4
- 177.136.230.88
Domains
- canalmodup.com
URLs
- http://177.136.230.88/modulo/Drivespan.dll
- http://177.136.230.88/modulo/Flexpcis.exe
- http://177.136.230.88/modulo/g2m.dll
- http://177.136.230.88/modulo/g2mstart.exe
- http://177.136.230.88/modulo/modulo.zip
MD5
- 51dbae0a01854a769d9b1267c91acdd8
SHA256
- 07762231da2a8ce1dd2a211c49a27a2f06d7d2b7d5426fc5b6b114f845f1eca6
- 7e4132835419e4c415d048b64a5fc2813b8d2ff72bb5586d857dcdf6a90a45f2
- 917c44b884fd59b5bcf2a8e9a5fd39dbceb544f60eb8fa9316729e9572a7865d
- 9ffdbc990c92e9564bbf8dd727c2540f60aa18868c463e81e361069ad5e53938
- f5d6037d2149e755813b9dbfc141f67054342f490534b730ed1494232ba3ac7d
