Interpol đã tiến hành một hành động thực thi pháp luật xuyên quốc gia tại Brazil và Tây Ban Nha vào tháng 1 năm 2024, thành công ngăn chặn hoạt động của trojan tài chính Grandoreiro. Tuy nhiên, gần đây các nhà nghiên cứu phát hiện dấu hiệu sự tái phát quay trở lại của loại trojan này, mặc dù đã bị "ngưng hoạt động".
Theo báo cáo của nhóm an ninh X-Force thuộc IBM, kể từ tháng 3, trojan Grandoreiro đã xuất hiện dấu hiệu "lây lan quy mô lớn" một lần nữa, các cơ quan an ninh đoán rằng tổ chức hacker có thể đã cung cấp con trojan này dưới dạng dịch vụ thuê bao cho các hacker khác.
Các nhà nghiên cứu cho biết rằng trojan Grandoreiro lần này có ảnh hưởng tương đối lớn, bao gồm hơn 60 quốc gia ở Trung và Nam Mỹ, châu Phi và châu Âu, tác động đến hơn 1500 ngân hàng trên toàn thế giới.
Các hacker tham gia phát tán trojan Grandoreiro đã giả mạo các cơ quan như Cục Thuế Mexico (SAT), Ủy ban Năng lượng Liên bang Mexico (CFE), Bộ trưởng Hành chính và Tài chính Mexico, Cục Thuế Argentina và Cục Thuế Nam Phi (SARS), gửi email lừa đảo bằng ngôn ngữ mẹ đẻ của người nhận, dùng lời rủ rê xem hóa đơn, báo cáo tài chính hoặc thông tin thuế để dụ dỗ người nhận không hay biết nhấn vào các liên kết trong email. Một khi người nhận thực hiện theo hướng dẫn, họ sẽ được dẫn đến tải xuống trojan độc hại.
Công ty bảo mật tuyên bố rằng phiên bản Grandoreiro mới xuất hiện gần đây đã được cải thiện ở nhiều điểm so với các phiên bản trước đó. Hacker đã tích hợp AES CBC và các thuật toán riêng để mã hóa dữ liệu, đồng thời giới thiệu thuật toán sinh tên miền (DGA) để lấy địa chỉ IP của máy chủ C&C, cùng với đó là một loạt các công cụ tải trọng nhằm ngăn chặn các công ty an ninh phát hiện hành vi của trojan trong môi trường sanbox.
Phạm vi tấn công hiện tại của Trojan độc hại này đã được mở rộng từ "thu thập khóa ngân hàng trực tuyến trên thiết bị của người dùng" sang "thu thập thông tin ví tiền kỹ thuật số của người dùng". Trojan cũng đã thêm cơ chế lan truyền tự động và sử dụng thông tin trên thiết bị của nạn nhân tới ứng dụng khách Outlook, sử dụng địa chỉ email của nạn nhân để gửi ngẫu nhiên các email lừa đảo cho người khác.