Uma operação das forças de segurança brasileiras resultou na prisão de vários operadores brasileiros responsáveis pelo malware Grandoreiro.
A Polícia Federal do Brasil afirmou que expediu cinco mandados de prisão temporária e 13 mandados de busca e apreensão nos estados de São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.
A empresa de cibersegurança eslovaca ESET, que auxiliou na operação, revelou que encontrou uma falha no protocolo de rede do Grandoreiro que ajudou a identificar os padrões de vitimologia.
O Grandoreiro é um dos muitos trojans bancários latino-americanos, como o Javali, Melcoz, Casabeniero, Mekotio e Vadokrist, visando principalmente países como Espanha, México, Brasil e Argentina.
Ele está ativo desde 2017.
No final de outubro de 2023, a Proofpoint revelou detalhes de uma campanha de phishing que distribuiu uma versão atualizada do malware para alvos no México e na Espanha.
O trojan bancário tem capacidades para roubar dados através de keyloggers e capturas de tela, bem como sifonar informações de login bancário de sobrepõe quando uma vítima infectada visita sites bancários pré-determinados visados pelos atores da ameaça.
Ele também pode exibir janelas pop-up falsas e bloquear a tela da vítima.
As cadeias de ataque normalmente utilizam iscas de phishing com documentos ou URLs maliciosos que, quando abertos ou clicados, levam ao implante do malware, que então estabelece contato com o servidor de comando e controle (C&C) para controlar remotamente a máquina de forma manual.
"O Grandoreiro monitora periodicamente a janela em primeiro plano para encontrar uma que pertença a um processo do navegador da web", disse a ESET.
"Quando tal janela é encontrada e seu nome corresponde a qualquer string de uma lista de strings relacionadas a bancos, somente então o malware inicia a comunicação com o servidor C&C, enviando solicitações pelo menos uma vez por segundo até ser terminado."
Os atores por trás do malware também são conhecidos por usar um algoritmo de geração de domínio (DGA) desde outubro de 2020 para identificar dinamicamente um domínio de destino para o tráfego C&C, tornando-o mais difícil de ser bloqueado, rastreado ou assumido.
A maioria dos endereços IP com os quais esses domínios se resolvem são fornecidos principalmente pela Amazon Web Services (AWS) e Microsoft Azure, com a duração dos endereços IP do C&C variando de 1 dia a 425 dias.
Em média, existem 13 endereços IP ativos do C&C e três novos por dia, respectivamente.
A ESET também disse que a implementação defeituosa do protocolo de rede RealThinClient (RTC) do Grandoreiro para C&C tornou possível obter informações sobre o número de vítimas conectadas ao servidor C&C, determinando em média 551 vítimas únicas por dia, principalmente espalhadas pelo Brasil, México e Espanha.
Investigações posteriores constataram que uma média de 114 novas vítimas únicas se conecta aos servidores C&C todos os dias.
"A operação de interrupção liderada pela Polícia Federal do Brasil visou indivíduos que se acredita estarem no topo da hierarquia da operação Grandoreiro", disse a ESET.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...