Grandoreiro银行木马主要通过什么方式传播？

Grandoreiro主要通过大规模发送钓鱼邮件进行传播。这些邮件伪装成西班牙、墨西哥等国的税务机构通知（如“税务通知”、“未缴税款”），诱导用户打开包含恶意宏的Microsoft Office附件。一旦用户启用宏，恶意软件便会下载并执行。

Grandoreiro与普通银行木马相比有何特别之处？

Grandoreiro的特别之处在于其模块化设计和全球化的攻击目标。它采用模块化架构，允许攻击者远程更新其功能（如信息窃取、覆盖攻击模块）。此外，其攻击活动已从拉丁美洲扩展到全球范围，特别是西班牙语和葡萄牙语国家，显示出更高的组织性和适应性。

企业应如何有效防御类似Grandoreiro的攻击？

企业应采取多层次防御：1) 加强员工安全意识培训，重点识别钓鱼邮件和宏文档风险；2) 部署具备高级威胁检测能力的邮件安全网关；3) 在端点上启用EDR/NGAV解决方案，监控异常行为；4) 实施应用程序控制策略，默认阻止来自互联网的Office宏执行；5) 对网络进行分段，并严格监控访问金融系统的流量。

银行木马Grandoreiro全球爆发：IBM X-Force揭示新兴攻击行动

2/25/2026 · 3 min

Grandoreiro银行木马：攻击手法与技术分析

IBM X-Force的最新报告揭示，Grandoreiro银行木马已从区域性威胁演变为全球性攻击行动。其攻击链主要包含以下环节：

1. 初始感染向量：大规模钓鱼邮件

伪装主题：攻击者发送伪装成西班牙、墨西哥等国税务机构的电子邮件，主题通常为“税务通知”、“未缴税款”或“法律传票”。
社会工程学：邮件内容包含紧迫性语言，诱导收件人打开附件。
恶意附件：附件为包含恶意宏的Microsoft Office文档（如Excel文件）。

2. 载荷投递与执行

用户启用宏后，文档会从攻击者控制的服务器下载并执行Grandoreiro的初始加载器。
加载器随后下载并部署核心的银行木马模块。

3. 核心功能与模块化设计

Grandoreiro采用模块化架构，使其功能可以动态更新和扩展：

信息窃取：记录键盘输入、截取屏幕截图、窃取浏览器中保存的凭证和Cookie。
银行欺诈：主要针对拉丁美洲和欧洲的银行网站，通过覆盖伪造的登录页面（覆盖攻击）诱骗用户输入敏感信息。
远程控制：攻击者可通过命令与控制（C2）服务器远程操控受感染主机，执行文件操作、进程管理等。
持久化：通过修改注册表、创建计划任务等方式确保在系统重启后仍能运行。

4. 攻击范围与目标

此次攻击活动显示出高度的针对性：

地理目标：西班牙、墨西哥、巴西、阿根廷、秘鲁等国的用户是主要目标。
行业目标：主要针对金融行业客户，但也波及普通企业员工和个人用户。

防御与缓解建议

面对此类高级威胁，企业和个人应采取多层次防御策略：

针对组织

员工安全意识培训：定期开展钓鱼邮件识别培训，重点强调不轻易启用Office宏，不点击可疑链接或附件。
邮件安全网关：部署高级邮件安全解决方案，对带有宏的文档进行沙箱检测和行为分析。
端点保护：启用下一代防病毒（NGAV）和端点检测与响应（EDR）解决方案，监控可疑进程行为和网络连接。
应用程序控制：通过策略限制非必要宏的执行，尤其是来自互联网的文档。
网络分段与监控：对访问关键系统（如财务）的网络流量进行严格监控和过滤。

针对个人用户

对任何声称来自政府或金融机构的紧急邮件保持警惕，通过官方渠道核实。
保持操作系统和所有软件（尤其是Office和浏览器）更新至最新版本。
使用强密码并启用双因素认证（2FA）保护银行账户。
安装并更新信誉良好的安全软件。

Grandoreiro的全球蔓延表明，银行木马攻击正变得更加专业化、规模化和国际化。防御者必须保持警惕，持续更新防御措施以应对不断演变的威胁。