Trojan Grandoreiro

Trojan bancário do Grandoreiro é desmantelado

 

Uma operação policial brasileira levou à prisão de vários operadores brasileiros responsáveis ​​pelo malware Grandoreiro .

 

A Polícia Federal do Brasil informou ter cumprido cinco mandados de prisão temporária e 13 mandados de busca e apreensão nos estados de São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.

 

A empresa eslovaca de segurança cibernética ESET, que forneceu assistência adicional no esforço, relatou ter descoberto uma falha de design no protocolo de rede de Grandoreiro que a ajudou a identificar os padrões de vitimologia.

 

Grandoreiro é um dos muitos trojans bancários latino-americanos, como Javali, Melcoz, Casabeniero, Mekotio e Vadokrist, visando principalmente países como Espanha, México, Brasil e Argentina. É conhecido por estar ativo desde 2017.

 

No final de outubro de 2023, a Proofpoint revelou detalhes de uma campanha de phishing que distribuiu uma versão atualizada do malware para alvos no México e na Espanha.

 

O trojan bancário tem capacidade para roubar dados por meio de keyloggers e capturas de tela, bem como desviar informações de login bancário de sobreposições quando uma vítima infectada visita sites bancários pré-determinados visados ​​pelos atores da ameaça. Ele também pode exibir janelas pop-up falsas e bloquear a tela da vítima.

 

As cadeias de ataque normalmente utilizam iscas de phishing contendo documentos falsos ou URLs maliciosos que, quando abertos ou clicados, levam à implantação de malware, que então estabelece contato com um servidor de comando e controle (C&C) para controlar remotamente a máquina de maneira manual. 

 

“Grandoreiro monitora periodicamente a janela em primeiro plano para encontrar uma que pertença a um processo do navegador da web”, informou a ESET .

 

Trojan Bancário Grandoreiro

 

“Quando tal janela é encontrada e seu nome corresponde a qualquer string de uma lista codificada de strings relacionadas a bancos, então o malware inicia a comunicação com seu servidor C&C, enviando solicitações pelo menos uma vez por segundo até ser encerrado.”

 

Os agentes de ameaças por trás do malware também são conhecidos por empregar um algoritmo de geração de domínio ( DGA ) desde cerca de outubro de 2020 para identificar dinamicamente um domínio de destino para o tráfego C&C, tornando mais difícil bloquear, rastrear ou assumir o controle da infraestrutura.

 

A maioria dos endereços IP para os quais esses domínios resolvem são fornecidos principalmente pela Amazon Web Services (AWS) e pelo Microsoft Azure, com a vida útil dos endereços IP C&C variando entre 1 dia e 425 dias. Em média, há 13 endereços IP ativos e três novos endereços IP C&C por dia, respectivamente.

 

A ESET afirmou ainda que a implementação falha do protocolo de rede RealThinClient (RTC) para C&C em Grandoreiro permitiu obter informações sobre o número de vítimas que estão ligadas ao servidor C&C, determinando em média 551 vítimas únicas num dia, que estão principalmente espalhadas por Brasil, México e Espanha.

 

Uma investigação mais aprofundada descobriu que um número médio de 114 novas vítimas únicas conectam-se aos servidores C&C todos os dias.

 

“A operação de disrupção liderada pela Polícia Federal do Brasil teve como alvo indivíduos que se acredita estarem no alto escalão da hierarquia da operação Grandoreiro”, conforme relato da ESET.

 

Este artigo é uma tradução de: https://thehackernews.com/2024/01/brazilian-feds-dismantle-grandoreiro.html  (Autor: Redação Hacker News)