A Polícia Federal interrompeu na terça-feira, 30, a operação do trojan bancário Grandoreiro, que visava países de língua espanhola e estava realizando fraudes financeiras desde 2017.
A operação, que recebeu o mesmo nome do malware, contou com o suporte da empresa de segurança cibernética ESET, Interpol, Polícia Nacional da Espanha e Caixa Bank, que forneceram dados que levaram à identificação e prisão dos indivíduos que controlavam a infraestrutura do malware.
A investigação também contou com informações e apoio da força-tarefa Tentáculos, estabelecida para reprimir fraudes bancárias eletrônicas e com a cooperação da Polícia Federal e instituições bancárias.
Durante a operação, a PF cumpriu cinco mandados de prisão temporária e 13 mandados de busca e apreensão em São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.
Ordens judiciais de apreensão e bloqueio de bens e valores também foram cumpridas visando desmantelar a estrutura criminosa e recuperar os ativos.
"Nesta terça-feira, 30 de janeiro, a Polícia Federal lançou a Operação Grandoreiro para investigar as atividades de um grupo criminoso responsável por fraudes bancárias eletrônicas, usando malware bancário com vítimas fora do Brasil", disse a PF em um comunicado de imprensa.
A estrutura criminosa é suspeita de movimentar fraudulentamente, desde 2019, pelo menos € 3,6 milhões, cerca de R$ 19, 3 milhões.
O Caixa Bank, instituição financeira espanhola, além do prejuízo causado, identificou que houve tentativas de fraude envolvendo o malware bancário brasileiro que resultariam em prejuízo de € 110 milhões.
As informações enviadas pelo banco espanhol foram o que iniciaram as investigações.
O Caixa Bank também identificou que os operadores do trojan bancário estavam no Brasil.
Os suspeitos utilizavam servidores em nuvem para hospedar a infraestrutura usada nas campanhas do Grandoreiro.
A utilização de programas de comando e controle (C&C) permitia o acesso remoto aos computadores das vítimas, onde os furtos de valores ocorriam de forma cibernética.
A infecção dos dispositivos das vítimas era realizada através do envio de e-mails contendo mensagens maliciosas (phishing) que induziam as vítimas a acreditar que eram informações oficiais, como notificações judiciais, contas vencidas, notas fiscais, entre outros.
Quando as vítimas abriam o anexo ou clicavam no link responsável pelo download do arquivo malicioso, o programa era executado em segundo plano, deixando o computador da vítima vulnerável aos criminosos.
Os valores foram direcionados para contas dos integrantes do grupo criminoso que "emprestavam" suas contas para movimentar os valores ilícitos.
Consulte istoPolícia Federal faz operação contra fraudes na compra de criptomoedasPF prende na Bahia suspeito de integrar o grupo Lapsus$
O Grandoreiro é um trojan bancário baseado em Windows documentado pela primeira vez pela ESET em 2020 e tem sido uma das principais ameaças aos falantes do idioma espanhol desde o início de sua operação em 2017.
O malware monitora ativamente a janela em foco, procurando processos do navegador relacionados a atividades bancárias.
Quando há uma correspondência, ele inicia a comunicação com seus servidores de comando e controle (C&C).
Os invasores precisam interagir manualmente com o malware para carregar as corretas injeções na web, indicando uma abordagem direta e prática.
O malware exibe para as vítimas pop-ups falsos solicitando credenciais, simula a entrada de mouse e teclado para ajudar na navegação remota, transmite em tempo real a tela da vítima, bloqueia a visualização local para dificultar a detecção e intervenção, e grava as teclas digitadas.
Os desenvolvedores do Grandoreiro lançavam atualizações frequentes para adicionar novos recursos e melhorar as capacidades do malware, o que indica o uso contínuo do projeto por seus operadores.
Em agosto de 2022, um relatório da Zscaler mostrou uma campanha Grandoreiro focada em funcionários de empresas de alto valor na Espanha e no México.
Não está claro se os indivíduos presos desempenharam um papel de liderança na operação, ou se há risco do Grandoreiro retornar no futuro utilizando novas infraestruturas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...