A polícia interrompe operação de malware bancário Grandoreiro, realiza prisões
31 de Janeiro de 2024

A Polícia Federal do Brasil e pesquisadores de segurança cibernética interromperam a operação do malware bancário Grandoreiro, que vem atacando países de língua espanhola com fraudes financeiras desde 2017.

A operação foi apoiada pela ESET, Interpol, Polícia Nacional na Espanha e Caixa Bank, todos fornecendo dados críticos que levam à identificação e prisão de indivíduos que controlam a infraestrutura do malware.

A polícia federal brasileira anunciou cinco prisões e treze ações de busca e apreensão em São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.

"Nesta terça-feira, 30 de janeiro, a Polícia Federal lançou a Operação Grandoreiro para investigar as atividades de um grupo criminoso responsável por fraudes bancárias eletrônicas, utilizando malware bancário com vítimas fora do Brasil", disse a polícia brasileira em um comunicado à imprensa traduzido por máquina.

"A estrutura criminal é suspeita de movimentar pelo menos 3,6 milhões de euros através de fraudes desde 2019."

Segundo registros do Caixa Bank, os operadores do malware estão ligados a fraudes que causaram aproximadamente US$ 120.000.000 em perdas.

Grandoreiro é um trojan bancário do Windows documentado pela primeira vez pela ESET em 2020, que tem sido uma das principais ameaças para falantes de espanhol desde o início de sua operação em 2017.

O malware monitora ativamente a janela em primeiro plano, procurando processos de navegador da web relacionados a atividades bancárias, e se houver correspondência, ele inicia a comunicação com seus servidores de comando e controle (C2).

Os atacantes devem interagir manualmente com o malware para realizar o roubo financeiro, como carregar as injeções da web corretas, indicando uma abordagem direcionada e prática.

O malware pode fornecer às vítimas falsas janelas pop-up que fazem phishing de credenciais, simular entrada de mouse e teclado para ajudar na navegação remota, enviar feed ao vivo da tela da vítima, bloquear a visualização local para impedir a detecção e intervenção e registrar teclas digitadas.

Os desenvolvedores do Grandoreiro lançaram atualizações frequentes para adicionar novos recursos e aprimorar as capacidades do malware, o que indica o uso contínuo do projeto por seus operadores.

Em agosto de 2022, um relatório da Zscaler apresentou uma campanha Grandoreiro visando altos funcionários de empresas na Espanha e no México.

A ESET conseguiu rastrear os servidores do Grandoreiro, apesar do uso do malware de um Algoritmo de Geração de Domínio (DGA), por meio de uma combinação de técnicas de rastreamento e análise.

Os pesquisadores analisaram o mecanismo DGA, que gera um novo domínio todos os dias, e descobriram que ele usa a data atual e configuração fixa, permitindo que eles prevejam domínios futuros.

"A ESET extraiu um total de 105 diferentes dga_ids de amostras conhecidas do Grandoreiro", explica a ESET.

"79 dessas configurações geraram pelo menos uma vez um domínio que resolveu para um endereço IP do servidor C&C ativo durante o curso de nosso acompanhamento."

A empresa de segurança cibernética observou padrões onde domínios gerados por diferentes configurações de DGA resolveram para os mesmos endereços IP, indicando várias vítimas conectadas ao mesmo servidor C2.

Usando essa pista, a infraestrutura do Grandoreiro foi agrupada e a ESET conseguiu obter informações sobre a vitimologia e o volume da operação.

A maioria das vítimas estão na Espanha, México e Brasil, enquanto o sistema operacional mais impactado é o Windows 10, seguido pelos 7, 8 e 11.

A ESET relata ver 551 conexões únicas com a infraestrutura do Grandoreiro diariamente, sendo 114 "novas vítimas diárias".

Se extrapolarmos isso para a duração de um ano, o Grandoreiro potencialmente infectou mais de 41.000 novos computadores.

Neste momento, não está claro se os indivíduos presos desempenhavam um papel de liderança na operação ou se existe o risco de o Grandoreiro retornar no futuro usando uma nova infraestrutura.

Ainda assim, a última interrupção paralisou completamente as operações do malware por enquanto.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...