Novas variantes de um malware bancário conhecido como Grandoreiro têm adotado novas táticas na tentativa de contornar medidas antifraude, indicando que o software malicioso continua sendo ativamente desenvolvido apesar dos esforços das autoridades para reprimir a operação.
"Apenas parte dessa gangue foi presa: os operadores restantes por trás do Grandoreiro continuam atacando usuários ao redor do mundo, desenvolvendo novos malwares e estabelecendo novas infraestruturas", disse a Kaspersky em uma análise publicada na terça-feira(22).
Algumas das novas artimanhas incorporadas incluem o uso de um algoritmo de geração de domínio (DGA) para comunicações de comando e controle (C2), criptografia de roubo de texto cifrado (CTS) e rastreamento de mouse.
Também foram observadas "versões locais mais leves" que são especificamente focadas em atacar clientes bancários no México.
O Grandoreiro, ativo desde 2016, evoluiu consistentemente ao longo do tempo, esforçando-se para permanecer não detectado, ao mesmo tempo em que expande seu alcance geográfico para a América Latina e a Europa.
Ele é capaz de roubar credenciais para 1.700 instituições financeiras, localizadas em 45 países e territórios.
Diz-se que opera sob o modelo de malware como serviço (MaaS), embora as evidências apontem que ele seja oferecido apenas a cibercriminosos selecionados e parceiros confiáveis.
Um dos desenvolvimentos mais significativos este ano em relação ao Grandoreiro são as prisões de alguns dos membros do grupo, um evento que levou à fragmentação da base de código Delphi do malware.
"Esta descoberta é suportada pela existência de duas bases de código distintas em campanhas simultâneas: amostras mais recentes apresentando código atualizado e amostras mais antigas que dependem da base de código legado, agora visando apenas usuários no México — clientes de cerca de 30 bancos", disse a Kaspersky.
O Grandoreiro é distribuído principalmente por meio de um e-mail de phishing e, em menor grau, através de anúncios maliciosos veiculados no Google.
A primeira etapa é um arquivo ZIP, que, por sua vez, contém um arquivo legítimo e um carregador MSI responsável por baixar e iniciar o malware.
Campanhas observadas em 2023 foram encontradas utilizando executáveis portáteis extremamente grandes com um tamanho de arquivo de 390 MB, se passando por drivers de dados externos SSD da AMD para contornar sandboxes e passar despercebido.
O malware bancário vem equipado com recursos para coletar informações do host e dados de localização do endereço IP.
Ele também extrai o nome de usuário e verifica se contém as strings "John" ou "WORK" e, nesse caso, interrompe sua execução.
"O Grandoreiro procura por soluções antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan e CrowdStrike", disse a empresa.
Ele também procura por softwares de segurança bancária, como Topaz OFD e Trusteer. Outra função notável do malware é verificar a presença de certos navegadores web, clientes de e-mail, VPN e aplicativos de armazenamento em nuvem no sistema e monitorar a atividade do usuário nesses aplicativos.
Além disso, pode atuar como um clipper para redirecionar transações de criptomoeda para carteiras sob o controle do ator de ameaças.
As cadeias de ataque mais recentes detectadas após as prisões deste ano incluem uma barreira CAPTCHA antes da execução do payload principal como uma forma de contornar a análise automática.
A versão mais recente do Grandoreiro também recebeu atualizações significativas, incluindo a capacidade de autoatualização, registrar teclas, selecionar o país para listar vítimas, detectar soluções de segurança bancária, usar o Outlook para enviar e-mails de spam e monitorar e-mails do Outlook em busca de palavras-chave específicas.
Ele também está equipado para capturar movimentos do mouse, sinalizando uma tentativa de imitar o comportamento do usuário e enganar os sistemas antifraude identificando a atividade como legítima.
"Esta descoberta destaca a evolução contínua de malwares como o Grandoreiro, onde os atacantes estão cada vez mais incorporando táticas projetadas para contrariar soluções de segurança modernas que dependem de biometria comportamental e aprendizado de máquina", disseram os pesquisadores.
Uma vez obtidas as credenciais, os atores de ameaças sacam os fundos para contas pertencentes a mulas locais de dinheiro por meio de aplicativos de transferência, criptomoeda ou cartões-presente, ou um caixa eletrônico.
As mulas são identificadas usando canais do Telegram, pagando-lhes de $200 a $500 por dia.
O acesso remoto à máquina da vítima é facilitado usando uma ferramenta baseada em Delphi chamada Operador que exibe uma lista de vítimas sempre que começam a navegar em um site de instituição financeira alvo.
"Os atores de ameaças por trás do malware bancário Grandoreiro estão continuamente evoluindo suas táticas e malwares para realizar ataques bem-sucedidos contra seus alvos e evadir soluções de segurança", disse a Kaspersky.
Os cavalos de Troia bancários brasileiros já são uma ameaça internacional; eles estão preenchendo as lacunas deixadas por gangues do Leste Europeu que migraram para o ransomware.
Esse desenvolvimento ocorre semanas após a empresa mexicana de cibersegurança Scitum alertar sobre uma nova campanha chamada Gecko Assault que envolve a distribuição de duas diferentes famílias de malware bancário, Mispadu e Mekotio, para visar usuários do Windows da região da América Latina (LATAM).
Usuários LATAM, particularmente aqueles no Brasil, também foram alvo de outro trojan bancário codinome Silver Oryx Blade com o objetivo de roubar informações financeiras sensíveis assim que acessam os sites bancários em seus navegadores web.
"Silver Oryx Blade pode roubar informações bancárias de todos os tipos de usuários, incluindo funcionários de organizações", observou o Scitum.
Além disso, possui capacidades de execução de comando. O método de distribuição deste trojan é por meio de e-mails de phishing (visando usuários brasileiros) que usam pretextos como supostos bônus salariais, transferências PIX e avisos fiscais, se passando por departamentos financeiros de RH e o Ministério da Fazenda do Brasil.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...