ESET与巴西联邦警察 联合采取行动破坏 Grandoreiro 僵尸网络，该僵尸网络近期导致受害者蒙受 390 万美元的损失。

据 警方称 ，巴西圣保罗州、圣卡塔琳娜州、帕拉州、戈亚斯州和马托格罗索州执行了 5 份临时逮捕令和 13 份搜查扣押令。调查是在该团伙的受害者之一西班牙储蓄银行 (Caixa Bank) 提供信息后开始的。

在最新的 Grandoreiro 攻击中，黑客发送伪装成传票或发票的网络钓鱼电子邮件，以获取对受害者设备的访问权限。Grandoreiro 恶意软件能够锁定受害者的屏幕、记录击键、模拟鼠标和键盘操作、广播受害者的屏幕以及显示虚假弹出窗口。

ESET 提供有关命令和控制 ( C2 ) 服务器 的域名和 IP 地址的技术分析、统计数据和信息。由于 Grandoreiro 网络协议中已发现的缺陷，ESET 研究人员能够获取有关攻击受害者的信息。

ESET 系统已处理数以万计的 Grandoreiro 样本。自 2020 年 10 月起使用的域生成算法 (DGA) 每天创建一个主域和多个备份域。Grandoreiro 运营商使用Azure和AWS云服务来托管其网络基础设施。ESET 研究人员提供的数据使他们能够识别用于设置服务器的帐户，最终导致运行服务器的人员被捕。

Grandoreiro 自 2017 年以来一直存在，针对拉丁美洲的银行系统，包括巴西、墨西哥，以及自 2019 年以来的西班牙。2023年以来，攻击重点转移到墨西哥和阿根廷。

2022 年 2 月，Grandoreiro 运营商为其程序添加了版本 ID。例如，从 2022 年 2 月到 2022 年 6 月，平均每 4 天就会出现一个新版本。研究表明，Grandoreiro 并非在MaaS（恶意软件即服务）恶意软件即服务模式下运行，而是由一个或多个密切合作的团体运行。

ESET 研究人员发现 Grandoreiro 的 C2 服务器正在泄露受害者的信息。从服务器获得的数据显示，大多数受害者使用Windows操作系统，其中巴西、墨西哥和西班牙的攻击数量最多。

通过对 Grandoreiro 活动的长期监控和分析，ESET 能够为阻止该活动做出重大贡献。该公司继续密切监视针对拉丁美洲的其他银行木马的活动，以及执法行动后 Grandoreiro 活动可能恢复的情况。