São Paulo, Brasil - A ESET, empresa líder em detecção proativa de ameaças, colaborou com a Polícia Federal do Brasil em uma tentativa de desmantelar a botnet Grandoreiro, trojan bancário com atuação incisiva na américa latina, com foco Brasil, México, Espanha e Argentina.
Esta operação de interrupção visava cybercriminosos de posições elevadas na hierarquia operacional do Grandoreiro. A investigação da Polícia Federal do Brasil levou à identificação e múltiplas detenções dos indivíduos que controlavam a botnet. Durante a investigação, a equipe de pesquisa da ESET forneceu dados cruciais para identificar as contas responsáveis por configurar e conectar-se aos servidores C&C.
O malware analizado permite:
• Bloquear as telas das vítimas;
• Registrar pressionamentos de teclas;
• Simular atividade do mouse e do teclado;
• Compartilhar a(s) tela(s) das vítimas;
• Exibir janelas pop-up falsas.
Estas funcionalidades do Grandoreiro não mudaram muito desde a última pesquisa da ESET sobre o grupo em 2020, mas tem passado por um desenvolvimento rápido e constante. Era comum encontrar novas variantes do código malicioso por semana; por exemplo, entre fevereiro de 2022 e junho de 2022, a ESET observou uma nova versão a cada quatro dias, em média.
"Os sistemas automatizados da ESET processaram dezenas de milhares de amostras do Grandoreiro. O algoritmo de geração de domínio (DGA) que o malware vem utilizando desde aproximadamente outubro de 2020 gera um domínio principal por dia, sendo a única forma pela qual o Grandoreiro pode estabelecer uma conexão com um servidor de comando e controle. Além da data, a DGA também aceita configurações adicionais para fazer campanhas mais dirigidas", afirmou o pesquisador da ESET, Jakub Souček, que coordenou a equipe que analisou o Grandoreiro e outros trojans bancários latino-americanos. "O Grandoreiro é semelhante a outros trojans bancários latino-americanos principalmente por sua funcionalidade principal evidente e por agrupar seus downloaders dentro dos instaladores MSI”, explicou.
A implementação do protocolo de rede do Grandoreiro permitiu à equipe de pesquisa da ESET dar uma olhada por trás da cortina e vislumbrar a vitimologia. Os servidores C&C do Grandoreiro fornecem informações sobre as vítimas conectadas no momento da solicitação inicial feita a cada vítima recém-conectada.
Ao examinar esses dados por mais de um ano, a ESET concluiu que 66% eram usuários do Windows 10, 13% usavam o Windows 7, o Windows 8 representava 12%, e 9% eram usuários do Windows 11. Dado que o Grandoreiro relata uma distribuição geográfica pouco confiável de suas vítimas, a telemetria da ESET foi usada como referência: a Espanha representa 65% de todas as vítimas, seguida pelo México com 14%, Brasil com 7% e Argentina com 5%; os 9% restantes das vítimas estão em outros países da América Latina. A ESET também observou que, em 2023, houve uma diminuição significativa da atividade do Grandoreiro na Espanha, compensada por um aumento de campanhas no México e Argentina.
Para obter mais informações técnicas sobre o Grandoreiro, consulte a postagem no blog "ESET participa em operação global para interromper o trojan bancário Grandoreiro" no We Live Security.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.