Банковский троян Grandoreiro, активный с 2016 года, продолжает эволюционировать. Несмотря на аресты части группировки в Испании, Бразилии и Аргентине, которые прошли в 2021 и 2024 годах при участии Интерпола и местных правоохранительных органов, оставшиеся на свободе участники наладили новые схемы атак. Свежие данные телеметрии показывают, что злоумышленники комбинируют два подхода: подгрузку вредоносных DLL через легитимные программы и доставку трояна с помощью запутанных VBS-скриптов. Основные цели - банки Португалии, а также компании в Испании, Мексике и других странах Латинской Америки.
Описание
Первая кампания использует технику DLL side-loading (метод, при котором вредоносная библиотека загружается доверенным приложением вместо оригинальной). Вредоносные файлы мимикрируют под четыре системных библиотеки: libwebp.dll, mingw10.dll, libffi-6.dll и libpng15.dll. Все они скомпилированы в среде Embarcadero Delphi 11.0 и написаны на Object Pascal. Анализ показал, что внутри каждой DLL находятся ресурсы, связанные с SGC WebSockets - компонентом для работы с протоколом WebRTC (технология для передачи аудио, видео и данных в реальном времени между браузерами и мобильными приложениями). Это не случайно: злоумышленники прячут вредоносную активность в шумном трафике видеоконференций, который сложно отслеживать стандартными средствами.
В DLL, маскирующихся под mingw10.dll и libwebp.dll, обнаружено использование протокола STUN (Session Traversal Utilities for NAT), который помогает устройствам за сетевыми экранами определить свой публичный IP-адрес. Раньше подобный приём применял другой банковский троян - Dyreza. Кроме того, в mingw10.dll найдена интеграция с Google Cloud Pub/Sub, а в libwebp.dll - с Azure и протоколом MQTT (используется для связи с устройствами интернета вещей). Вторая пара библиотек (libffi-6.dll и libpng15.dll) опирается на протокол ICE (Interactive Connectivity Establishment) и использует API крупнейшей криптобиржи Binance. Примечательно, что API появилось в конце февраля 2026 года - как раз когда началась кампания. Также в коде прописана работа с облаком Amazon через MQTT.
Разработчики трояна предусмотрели защиту от анализа: в коде встречаются анти-отладочные трюки, например, деление на ноль и инструкция UD2 (0F 0B), вызывающая недопустимую операцию, чтобы сбить с толку отладчик. В одном из образцов найдены строки на китайском языке и вызов браузера в киоск-режиме (полноэкранном режиме без доступа к другим приложениям). Но самое важное - в коде перечислены конкретные банки, работающие в Португалии: Abanca, Activo bank, Banco CTT, Banco de Portugal, BBVA PT, Best, Bison, BNI, BPI, Caixa Geral Depositos, Carregosa, Eurobic, Finantia, Inter, Itau BBVA, Millenium, Montepio, N26, Novobanco, Santander, а также финансовые сервисы Revolut и Wise. Отчёт WatchGuard подтверждает, что атаки нацелены именно на эти организации.
Первоначальным вектором заражения служит фишинг. Пользователь получает письмо со ссылкой, которая ведёт либо на домен uniaodownloadcnk[.]online (зарегистрированный 24 февраля 2026 года у регистратора Namecheap), либо на адрес vmi.contaboserver.net - виртуальный сервер хостинг-провайдера Contabo. Обе ссылки перенаправляют на Dropbox, откуда скачивается ZIP-архив, содержащий легитимную программу (например, FastStone Image Viewer или MinGW) вместе с подменённой DLL.
Вторая кампания менее технически изощрённая, но не менее опасная. Она использует вредоносный VBS-скрипт (Visual Basic Script) с сильной обфускацией. Жертва переходит на фишинговую страницу, размещённую на Contabo, и скачивает с Mediafire архив с этим скриптом. При запуске скрипт создаёт исполняемый файл на Delphi 12, который показывает поддельное окно с предложением обновить Adobe Reader. Если пользователь нажимает кнопку, начинается проверка местоположения через запрос к ip-api.com. Затем троян выполняет множество анти-аналитических проверок: сверяет имя компьютера со списком (WIN-VUA6POUV5UP, Win-StephyPC3, difusor и другие), ищет инструменты аналитиков (Wireshark, IDA Pro, Process Monitor и т.д.), проверяет пути на дисках A:\, B:\, C:\, D:\, наличие виртуальной среды по ключам реестра VMWare, а также через WMI (инструментарий управления Windows) собирает список установленных антивирусов. Дополнительно проверяется наличие семи популярных программ - от Google Chrome до Skype.
Несмотря на разницу в методах, обе кампании объединяет общая инфраструктура. Злоумышленники активно злоупотребляют легитимными сервисами: Dropbox, Mediafire, Contabo, Namecheap. Серверы управления (C2) обнаружены по адресу 162.33.177[.]150. Целевая аудитория - клиенты небольших и средних банков, а также пользователи финансовых сервисов в Португалии, Испании, Мексике и Латинской Америке.
Grandoreiro - не просто очередной банковский троян. Это символ того, как финансово мотивированные группы быстро адаптируются, маскируются под обычный сетевой трафик и используют облачную инфраструктуру, которой доверяют компании. DLL-подгрузка, фишинг, использование WebRTC и облачных API - всё это делает угрозу трудноуловимой для поверхностной защиты. Организациям в Европе и Латинской Америке стоит задуматься: одного антивируса и почтового фильтра недостаточно. Нужна многоуровневая видимость, поведенческий анализ и постоянный мониторинг, чтобы соединить разрозненные сигналы и остановить атаку до того, как троян начнёт перехватывать банковские сессии.
Индикаторы компрометации
IPv4
- 162.33.177.150