Trojan został od ostatnim czasie mocno zaktualizowany, dlatego jest teraz dużo groźniejszy. Rozsyła wiadomości phishingowe, wykorzystując do tego celu zainfekowane hosty, które obsługują klientów Microsoft Outlook. Ataki rozpoczynają się standardowo od rozsyłania wiadomości e-mail. Zawierają one prośbę, aby ich odbiorcy kliknęli łącze w celu wyświetlenia faktury lub dokonania płatności.

Gdy to zrobią, pobierają plik ZIP zawierający modułu, który ładuje właściwego trojana Grandoreiro. Hakerzy zastosowali przy tym ciekawą metodę, która pozwala im ominąć oprogramowanie wykrywające złośliwe oprogramowania. Polega ona na tym, że wielkość modułu ładującego trojana jest sztucznie zawyżona do ponad 100 MB.

Zobacz również:

• Antydron w usłudze - nowy sposób na zabezpieczenie infrastruktury krytycznej
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Trojan rozpoczyna swoją aktywność od zmodyfikowania jednego w rejestrów rejestru Windows, po czym nawiązuje połączenia z serwerem C2 w celu otrzymania dalszych instrukcji. Grandoreiro pozwala cyberprzestępcom zdalnie przejąć kontrolę nad systemem, przeprowadzać operacje na plikach i włączać specjalne tryby, w tym nowy moduł, który gromadzi dane programu Microsoft Outlook i wykorzystuje konto e-mail ofiary do wysyłania wiadomości spamowych do innych komputerów.

Wykorzystując lokalnego klienta Outlook, Grandoreiro może rozprzestrzeniać się poprzez skrzynki odbiorcze zainfekowanych ofiar za pośrednictwem poczty elektronicznej, co prawdopodobnie przyczynia się do tego, że jest w stanie rozsyłać olbrzymią ilość spamu.