Grandoreiro usa DLL Side-Loading e VBS contro banche in Portogallo

Grandoreiro torna al centro della scena cybercriminale con una nuova campagna contro banche in Portogallo e aziende in Spagna, Messico e America Latina, confermando la capacità del trojan bancario di sopravvivere alle operazioni di polizia e di aggiornare rapidamente le proprie tecniche offensive. L’analisi di WatchGuard identifica due varianti attive del malware: una basata su DLL Side-Loading attraverso librerie contraffatte affiancate a software legittimi, l’altra costruita su uno script VBS fortemente offuscato che consegna un eseguibile compilato in Delphi 12. La minaccia non si limita al furto di credenziali bancarie, ma mostra un’evoluzione più ampia nella gestione del comando e controllo, nell’evasione delle sandbox e nell’abuso di servizi cloud legittimi come AWS, Azure, Google Cloud, Dropbox, Mediafire, Contabo e persino Binance API. La campagna combina phishing tradizionale, delivery tramite file ZIP, librerie malevole, controlli anti-debug, anti-VM, geofencing e comunicazioni basate su WebRTC, STUN, ICE e MQTT, rendendo il traffico malevolo più difficile da distinguere dalle normali attività aziendali. Il risultato è una minaccia persistente, mirata e ancora molto efficace contro istituzioni finanziarie, imprese e utenti esposti a comunicazioni fraudolente costruite per sembrare download legittimi o aggiornamenti software.

Grandoreiro resta operativo dopo gli arresti internazionali

Grandoreiro opera almeno dal 2016 e si è imposto negli anni come uno dei trojan bancari più diffusi a livello globale, con una particolare concentrazione su mercati finanziari europei e latinoamericani. Le operazioni coordinate da INTERPOL e dalle forze dell’ordine hanno portato ad arresti in Spagna, Brasile e Argentina tra il 2021 e il 2024, ma il malware non è scomparso perché solo una parte della struttura criminale sarebbe stata effettivamente neutralizzata. I membri rimasti attivi hanno continuato a sviluppare nuove catene di infezione, a cambiare infrastrutture e a introdurre tecniche di evasione sempre più raffinate. La nuova campagna osservata da WatchGuard conferma questa resilienza operativa: Grandoreiro mantiene una capacità offensiva elevata, cambia vettori di delivery e aggiorna le comunicazioni C2 per confondersi meglio con il traffico legittimo. Il trojan si concentra oggi su banche in Portogallo e su aziende in Spagna, Messico e altri Paesi dell’America Latina, dimostrando una continuità geografica coerente con la storia del malware ma anche una maggiore attenzione verso target europei ad alto valore. La sopravvivenza della campagna dopo gli arresti internazionali mostra una struttura cybercriminale distribuita, capace di perdere operatori senza interrompere completamente l’infrastruttura offensiva.

La tecnica DLL Side-Loading sfrutta librerie legittime contraffatte

La prima variante individuata da WatchGuard sfrutta il DLL Side-Loading, una tecnica che permette agli attaccanti di eseguire codice malevolo caricando librerie contraffatte accanto a programmi apparentemente legittimi. La campagna abusa di quattro file specifici: libwebp.dll, associata a FastStone Image Viewer, mingw10.dll, legata a MinGW, libffi-6.dll, usata da FreeMat, e libpng15.dll, collegata ad AbiWord. Tutte le librerie risultano compilate con Delphi 11 e vengono inserite nella stessa directory dei software originali distribuiti tramite phishing. Quando l’utente avvia il programma legittimo, Windows carica la DLL malevola al posto della libreria attesa, consentendo al payload di eseguirsi in modo silenzioso e con minori probabilità di essere intercettato dai controlli tradizionali. Questa tecnica resta particolarmente efficace perché sfrutta la fiducia nei software legittimi e nella logica di caricamento delle librerie del sistema operativo. Le DLL malevole includono risorse HTML, JavaScript e CSS associate a SGC WebSockets e WebRTC, trasformando componenti apparentemente ordinari in strumenti di comunicazione con l’infrastruttura criminale. Il punto critico non è solo l’esecuzione del malware, ma la capacità di nasconderlo dentro una catena di avvio che per l’utente appare normale.

WebRTC, STUN, ICE e cloud rendono il comando e controllo più mimetico

La nuova infrastruttura di comunicazione di Grandoreiro mostra un livello di maturità superiore rispetto alle campagne bancarie più tradizionali. Le DLL osservate da WatchGuard usano WebRTC, tecnologia normalmente impiegata per comunicazioni in tempo reale tra browser, applicazioni mobili e piattaforme di videoconferenza. In questo contesto, però, WebRTC diventa un canale C2 capace di mimetizzarsi dentro traffico legittimo e rumoroso. Le librerie sfruttano STUN per scoprire l’indirizzo IP pubblico della vittima e facilitare connessioni peer-to-peer, mentre una variante integra anche ICE per migliorare la negoziazione delle connessioni. La DLL mingw10.dll usa Google Cloud Pub/Sub, mentre libwebp.dll comunica con Azure attraverso protocollo MQTT. La seconda campagna introduce inoltre l’uso di Binance API, elemento rilevante perché il rilascio dell’API coincide temporalmente con l’inizio dei primi casi osservati. L’abuso di servizi cloud legittimi complica il rilevamento perché il traffico verso infrastrutture note non appare automaticamente sospetto. Per un team di sicurezza aziendale, distinguere una comunicazione malevola da una sessione legittima di videoconferenza, messaggistica cloud o pubblicazione eventi può diventare complesso senza analisi comportamentale e correlazione avanzata.

Phishing, Dropbox e domini recenti avviano la catena di infezione

La catena di infezione delle campagne Grandoreiro resta fondata su un delivery iniziale classico: il phishing. Gli attaccanti inviano email con link malevoli che reindirizzano la vittima verso Dropbox, dove viene scaricato un file ZIP contenente un programma legittimo e una DLL contraffatta. La scelta di Dropbox non è casuale perché il servizio gode di reputazione elevata e spesso non viene bloccato in ambienti aziendali. Un dominio identificato nella campagna, uniaodownloadcnk[.]online, è stato registrato il 24 febbraio 2026, mentre altri link sfruttano VPS Contabo per ospitare componenti intermedi o reindirizzamenti. Una volta estratto il contenuto del pacchetto, l’utente avvia il software apparentemente innocuo e attiva automaticamente la DLL malevola. La catena sfrutta tre livelli di fiducia: la fiducia nel messaggio ricevuto, la fiducia nel servizio di storage legittimo e la fiducia nel software incluso nell’archivio. Questo schema continua a funzionare perché non richiede exploit complessi ma abusa di comportamenti quotidiani, soprattutto in contesti aziendali dove download, archivi compressi e strumenti gratuiti vengono ancora gestiti con controlli insufficienti.

La variante VBS usa offuscamento, geofencing e falso aggiornamento Adobe Reader

La seconda variante osservata da WatchGuard introduce uno script VBS altamente offuscato come punto di avvio della compromissione. Il file viene ospitato su server Contabo con meccanismi di geofencing e conduce a un download da Mediafire, da cui viene recuperato un eseguibile compilato in Delphi 12. Dopo l’esecuzione, il malware mostra una finestra falsa che invita l’utente ad aggiornare Adobe Reader, sfruttando una tecnica di ingegneria sociale semplice ma ancora efficace. Solo dopo l’interazione della vittima il trojan verifica la posizione geografica attraverso una richiesta a ip-api.com/json, controlla l’ambiente di esecuzione e decide se procedere con l’attivazione completa. Questo comportamento riduce l’esposizione del malware in ambienti di analisi automatizzata e permette agli attaccanti di concentrare l’esecuzione sui Paesi di interesse. La combinazione tra VBS offuscato, download multi-stage, falso aggiornamento software e controllo geografico indica una campagna costruita per evitare sandbox generiche, ritardare la rilevazione e mantenere un basso profilo fino alla fase realmente utile per l’operatore criminale.

Anti-debugging e controlli anti-VM ostacolano l’analisi del malware

La seconda campagna Grandoreiro incorpora controlli anti-debug, anti-VM e anti-analisi particolarmente aggressivi. Il malware esegue una divisione per zero e l’istruzione UD2 (0F 0B) per complicare il debugging e generare comportamenti anomali negli strumenti di analisi. Verifica il nome del computer e blocca l’esecuzione su host con denominazioni come WIN-VUA6POUV5UP, Win-StephyPC3, difusor o DESKTOP-XXXXXXXX, spesso associate ad ambienti di test, sandbox o macchine virtuali. Il codice controlla inoltre la presenza di strumenti come ProcMon, OllyDbg, IDA, Wireshark e altri tool comunemente utilizzati dai ricercatori di sicurezza. A questi controlli si aggiunge la verifica della directory di esecuzione su drive A:, B:, C: e D: per evitare cartelle sospette come TOOLS o programming, oltre alla ricerca di chiavi di registro tipiche di ambienti virtualizzati. L’obiettivo è impedire che il malware venga analizzato in laboratorio, forzare errori nei debugger e limitare l’esecuzione solo su sistemi reali. Questa architettura difensiva conferma che Grandoreiro non è un trojan bancario statico, ma una piattaforma criminale che continua a incorporare tecniche usate da malware più avanzati.

I riferimenti alle banche portoghesi confermano la focalizzazione finanziaria

Il codice della campagna contiene riferimenti specifici a numerose banche e servizi finanziari operanti in Portogallo, tra cui Abanca, ActivoBank, Banco CTT, Banco de Portugal, BBVA PT, Best, Bison, BNI, BPI, Caixa Geral de Depósitos, Carregosa, EuroBic, Finantia, Inter, Itaú, Millennium, Montepio, N26, Novo Banco e Santander. Sono presenti anche servizi finanziari digitali come Revolut e Wise, segnale che il trojan non mira soltanto agli istituti bancari tradizionali ma anche ai nuovi operatori fintech e ai sistemi di pagamento internazionali. Questi riferimenti indicano che Grandoreiro è progettato per riconoscere contesti bancari specifici, intercettare credenziali, monitorare sessioni finanziarie, catturare dati di accesso, codici OTP e informazioni di carte di credito. La focalizzazione geografica sul Portogallo suggerisce una campagna modellata su un ecosistema bancario preciso, mentre l’estensione verso Spagna, Messico e America Latina conferma la continuità storica del trojan nei mercati lusofoni e ispanofoni. La minaccia non è quindi generica, ma orientata al furto finanziario mirato e alla compromissione di utenti e imprese che interagiscono quotidianamente con servizi bancari online.

Gli indicatori di compromissione aiutano a bloccare la campagna

Gli indicatori osservati da WatchGuard permettono agli amministratori di costruire regole difensive più efficaci contro le nuove varianti di Grandoreiro. Il dominio uniaodownloadcnk[.]online, i server VPS Contabo, i download sospetti da Dropbox e Mediafire, gli archivi ZIP contenenti software legittimi affiancati da DLL anomale e la presenza dei file libwebp.dll, mingw10.dll, libffi-6.dll o libpng15.dll nelle stesse directory dei programmi originali rappresentano segnali da monitorare con attenzione. Il traffico WebRTC anomalo, le connessioni verso Google Cloud Pub/Sub, Azure MQTT o Binance API in contesti non coerenti con l’attività aziendale possono indicare comunicazioni C2 mascherate. Le organizzazioni devono verificare la presenza di eseguibili Delphi, script VBS offuscati, richieste verso ip-api.com/json e finestre sospette che simulano aggiornamenti di Adobe Reader. La difesa non può limitarsi al blocco di un singolo hash perché la campagna usa più varianti e infrastrutture sostituibili. Serve una combinazione di indicatori statici, analisi comportamentale, controllo dei download, monitoraggio DNS e regole EDR capaci di rilevare il side-loading.

Le difese contro Grandoreiro richiedono controlli multilivello

La mitigazione delle nuove campagne Grandoreiro richiede una difesa multilivello che unisca blocco dei vettori noti, monitoraggio comportamentale e formazione degli utenti. Le aziende devono impedire l’esecuzione di VBS provenienti da fonti non attendibili, controllare i download da Dropbox e Mediafire, bloccare domini recenti o sospetti, monitorare l’uso di Contabo VPS e verificare la presenza di DLL anomale accanto a software legittimi come FastStone Image Viewer, FreeMat e AbiWord. Le soluzioni EDR devono essere configurate per rilevare tecniche di DLL Side-Loading, caricamento inatteso di librerie, controlli anti-VM, esecuzione di payload Delphi e traffico WebRTC fuori contesto. Le istituzioni finanziarie e le aziende in Portogallo, Spagna, Messico e America Latina devono rafforzare l’autenticazione a più fattori, monitorare transazioni anomale e verificare eventuali tentativi di furto di credenziali bancarie. La formazione resta essenziale perché la campagna inizia con phishing e richiede ancora un’interazione iniziale della vittima. Tuttavia la sola consapevolezza non basta: servono regole tecniche, blocchi preventivi, telemetria di rete e risposta rapida agli indicatori osservati.

Grandoreiro conferma la resilienza del cybercrime finanziario

Le nuove varianti di Grandoreiro confermano che il cybercrime finanziario continua a evolversi anche dopo operazioni internazionali di polizia. Gli arresti del 2021 e del 2024 hanno colpito parti della gang, ma non hanno cancellato l’infrastruttura, le competenze e la capacità di adattamento del gruppo. L’uso di DLL Side-Loading, VBS offuscati, WebRTC, STUN, ICE, MQTT, servizi cloud e controlli anti-analisi mostra una minaccia in grado di combinare tecniche tradizionali e innovazioni operative. Il trojan resta particolarmente pericoloso perché si muove tra Europa e America Latina, prende di mira banche, fintech e imprese, e nasconde le proprie comunicazioni dentro servizi e protocolli comunemente legittimi. Per le organizzazioni, Grandoreiro deve essere trattato come una minaccia persistente e non come una campagna isolata. La sua evoluzione dimostra che il malware bancario moderno non dipende più soltanto da pagine di phishing e furto di credenziali, ma da infrastrutture modulari, evasive e capaci di sfruttare la complessità stessa degli ambienti digitali aziendali.