银行木马Grandoreiro全球爆发：IBM X-Force揭示新兴攻击行动

Grandoreiro银行木马：攻击手法与技术分析

IBM X-Force的最新报告揭示，Grandoreiro银行木马已从区域性威胁演变为全球性攻击行动。其攻击链主要包含以下环节：

1. 初始感染向量：大规模钓鱼邮件

• 伪装主题：攻击者发送伪装成西班牙、墨西哥等国税务机构的电子邮件，主题通常为“税务通知”、“未缴税款”或“法律传票”。
• 社会工程学：邮件内容包含紧迫性语言，诱导收件人打开附件。
• 恶意附件：附件为包含恶意宏的Microsoft Office文档（如Excel文件）。

2. 载荷投递与执行

• 用户启用宏后，文档会从攻击者控制的服务器下载并执行Grandoreiro的初始加载器。
• 加载器随后下载并部署核心的银行木马模块。

3. 核心功能与模块化设计

Grandoreiro采用模块化架构，使其功能可以动态更新和扩展：

• 信息窃取：记录键盘输入、截取屏幕截图、窃取浏览器中保存的凭证和Cookie。
• 银行欺诈：主要针对拉丁美洲和欧洲的银行网站，通过覆盖伪造的登录页面（覆盖攻击）诱骗用户输入敏感信息。
• 远程控制：攻击者可通过命令与控制（C2）服务器远程操控受感染主机，执行文件操作、进程管理等。
• 持久化：通过修改注册表、创建计划任务等方式确保在系统重启后仍能运行。

4. 攻击范围与目标

此次攻击活动显示出高度的针对性：

• 地理目标：西班牙、墨西哥、巴西、阿根廷、秘鲁等国的用户是主要目标。
• 行业目标：主要针对金融行业客户，但也波及普通企业员工和个人用户。

防御与缓解建议

面对此类高级威胁，企业和个人应采取多层次防御策略：

针对组织

1. 员工安全意识培训：定期开展钓鱼邮件识别培训，重点强调不轻易启用Office宏，不点击可疑链接或附件。
2. 邮件安全网关：部署高级邮件安全解决方案，对带有宏的文档进行沙箱检测和行为分析。
3. 端点保护：启用下一代防病毒（NGAV）和端点检测与响应（EDR）解决方案，监控可疑进程行为和网络连接。
4. 应用程序控制：通过策略限制非必要宏的执行，尤其是来自互联网的文档。
5. 网络分段与监控：对访问关键系统（如财务）的网络流量进行严格监控和过滤。

针对个人用户

• 对任何声称来自政府或金融机构的紧急邮件保持警惕，通过官方渠道核实。
• 保持操作系统和所有软件（尤其是Office和浏览器）更新至最新版本。
• 使用强密码并启用双因素认证（2FA）保护银行账户。
• 安装并更新信誉良好的安全软件。

Grandoreiro的全球蔓延表明，银行木马攻击正变得更加专业化、规模化和国际化。防御者必须保持警惕，持续更新防御措施以应对不断演变的威胁。