Banking-Trojaner Grandoreiro: Angriffe auf sieben portugiesische Großbanken

Die Cyberkriminellen hinter dem Banking-Trojaner Grandoreiro haben ihre Aktivitäten massiv ausgeweitet – mit Angriffen auf Finanzinstitute in Portugal und Unternehmen in Spanien sowie Lateinamerika.

Sicherheitsforscher haben im Mai 2026 mehrere neue Kampagnen der seit 2016 bekannten Schadsoftware identifiziert. Die Angreifer setzen dabei auf raffinierte Methoden, um traditionelle Sicherheitsmaßnahmen zu umgehen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste jetzt kostenlos anfordern

Cloud-Dienste als Einfallstor

Die aktuellen Operationen nutzen zwei Hauptinfektionswege. Eine Kampagne verwendet DLL-Seitenladetechniken – legitime Dateien wie libwebp.dll oder mingw10.dll werden über Dropbox verteilt. Eine zweite Variante setzt auf schädliche VBS-Skripte, die auf Mediafire gehostet werden.

Besonders perfide: Die Täter verschleiern ihren Datenverkehr mithilfe von Google Cloud, Microsoft Azure und AWS. Über den deutschen Anbieter Contabo betreiben sie zudem gefälschte Websites mit Geofencing – nur Nutzer aus den Zielregionen erhalten die Schadsoftware.

Zu den Hauptzielen zählen sieben portugiesische Großbanken: Caixa Geral de Depósitos, Millennium BCP, Novobanco, Santander, BPI, BBVA PT und Abanca. Auch mexikanische und andere lateinamerikanische Organisationen stehen im Fadenkreuz.

Technische Verfeinerung der Malware

Grandoreiro hat sich weiterentwickelt. Die Schadsoftware verfügt nun über Anti-Debugging-Mechanismen und nutzt Windows Management Instrumentation (WMI) zur Systemanalyse. Diese technischen Verbesserungen fallen in eine Zeit steigender Cyberbedrohungen.

Die Zahl der Ransomware-Vorfälle stieg von rund 4.900 im Jahr 2024 auf über 7.200 im Jahr 2025. Ein Grund: Kriminelle setzen zunehmend große Sprachmodelle (LLMs) ein, um Social-Engineering-Angriffe zu verbessern und Code schneller zu entwickeln.

Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Gratis-Report zur Hacker-Abwehr herunterladen

Parallelentwicklungen im Mai 2026

Erst Anfang Mai gelang Sicherheitsfirmen wie CrowdStrike die Zerschlagung des Glassworm-Botnets. Seit Anfang 2025 aktiv, hatte dieses Netzwerk über manipulierte Lieferketten Softwareentwickler angegriffen – mit über 300 infizierten GitHub-Repositories und manipulierten VS-Code-Erweiterungen.

Ebenfalls im Fokus: Eine kritische Windows-Kernel-Sicherheitslücke (CVE-2026-40369, CVSS 7.8), die am Patch-Dienstag, dem 12. Mai, geschlossen wurde. Sie erlaubte unprivilegierten Angreifern, Systemrechte zu erlangen.

Die Lazarus-APT-Gruppe setzt zudem einen neuen, speicherresidenten Trojaner namens RemotePE ein. Dieses dateilose Tool arbeitet vollständig im RAM und wird über Telegram verbreitet – offenbar zu nordkoreanischen Arbeitszeiten.

Das FBI warnte zuletzt vor der Silent Ransom Group (SRG), die US-Anwaltskanzleien attackiert. Die Täter geben sich als IT-Support aus, verschaffen sich per Fernwartungssoftware Zugang und erpressen ihre Opfer nach Datenabfluss in die Cloud.

de | wissenschaft | 69429224 |