- ESET werkte samen met de Federale Politie van Brazilië om het Grandoreiro-botnet te verstoren.
- ESET leverde een bijdrage aan het project door technische analyses, statistische informatie en bekende commando- en controleservers (C&C) te leveren.
- Deze verstoringsoperatie was gericht op individuen waarvan wordt aangenomen dat ze hoog in de operationele hiërarchie van Grandoreiro staan.
- Verder onderzoek door de Federale Politie van Brazilië leidde tot de identificatie en arrestatie van de personen die de controle hadden over het botnet.
- Grandoreiro is minstens sinds 2017 actief en richt zich op Brazilië, Mexico, Spanje en Argentinië.
- Grandoreiro kan het scherm van een slachtoffer blokkeren, toetsaanslagen loggen, muis- en toetsenbordactiviteit simuleren, het scherm van het slachtoffer delen en valse pop-upvensters weergeven.
Sliedrecht, 30 januari 2024 – ESET werkte samen met de Federale Politie van Brazilië in een poging om het Grandoreiro botnet te verstoren. ESET heeft bijgedragen aan het project door technische analyses, statistische informatie en bekende command and control (C&C) server domeinnamen en IP-adressen te leveren. Door een ontwerpfout in het netwerkprotocol van Grandoreiro konden ESET-onderzoekers ook een glimp opvangen van de slachtoffers.
Deze verstoringsoperatie was gericht op individuen waarvan wordt aangenomen dat ze hoog in de operationele hiërarchie van Grandoreiro staan. Het onderzoek door de Federale Politie van Brazilië leidde tot meerdere arrestaties. ESET-onderzoekers leverden gegevens die cruciaal waren voor het identificeren van de accounts die verantwoordelijk waren voor het opzetten van en verbinding maken met de C&C-servers van Grandoreiro.
Grandoreiro is één van de vele Latijns-Amerikaanse banking trojans. Het is sinds 2017 actief en ESET-onderzoekers volgen het sindsdien op de voet. Grandoreiro richt zich op Brazilië, Mexico, Spanje en, sinds 2023 ook op Argentinië.
Functioneel gezien is Grandoreiro niet veel veranderd sinds de laatste ESET Research blog post over de groep in 2020. Desondanks heeft Grandoreiro een snelle en constante ontwikkeling doorgemaakt. Af en toe hebben we zelfs meerdere nieuwe builds per week waargenomen; dit kwam neer op gemiddeld elke vier dagen een nieuwe versie tussen februari 2022 en juni 2022.
De operator moet nog steeds handmatig communiceren met de gecompromitteerde machine om het geld van het slachtoffer te stelen. De malware staat de volgende acties toe:
• De schermen van slachtoffers blokkeren
• Toetsaanslagen vastleggen
• Simuleren van muis- en toetsenbordactiviteit
• Het delen van het scherm(en) van het slachtoffer
• Valse pop-upvensters weergeven
"De geautomatiseerde systemen van ESET hebben tienduizenden Grandoreiro-samples verwerkt. Het domeingeneratiealgoritme (DGA) dat de malware sinds ongeveer oktober 2020 gebruikt, produceert één hoofddomein per dag en het is de enige manier waarop Grandoreiro verbinding kan maken met een C&C-server. Naast de huidige datum accepteert de DGA ook een enorme statische configuratie," zegt ESET-onderzoeker Jakub Souček, die het team coördineerde dat Grandoreiro en andere Latijns-Amerikaanse banking trojans analyseerde. "Grandoreiro lijkt vooral op andere Latijns-Amerikaanse banking trojans door zijn duidelijke kernfunctionaliteit en door het bundelen van zijn downloaders binnen MSI-installers."
Dankzij Grandoreiro's implementatie van zijn netwerkprotocol konden ESET-onderzoekers een kijkje nemen achter het gordijn en een glimp opvangen van de victimologie. Grandoreiro's C&C-servers geven informatie over aangesloten slachtoffers op het moment van het eerste verzoek aan elk nieuw aangesloten slachtoffer. Door deze gegevens meer dan een jaar lang te onderzoeken, concluderen we dat 66% van de slachtoffers Windows 10-gebruikers waren, 13% Windows 7-gebruikers, 12% Windows 8-gebruikers en 9% Windows 11-gebruikers. Omdat Grandoreiro een onbetrouwbare geografische verdeling van zijn slachtoffers rapporteert, verwijzen we naar ESET telemetrie: Spanje is goed voor 65% van alle slachtoffers, gevolgd door Mexico met 14%, Brazilië met 7% en Argentinië met 5%; de resterende 9% van de slachtoffers bevindt zich in andere Latijns-Amerikaanse landen. We merken ook op dat we in 2023 een significante afname van Grandoreiro's activiteit in Spanje zien, hoewel dat gecompenseerd wordt door toegenomen campagnes in Mexico en Argentinië.
Bekijk voor meer technische informatie over Grandoreiro de blogpost "ESET takes part in global operation to disrupt the Grandoreiro banking trojan" op WeLiveSecurity. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws van ESET Research.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X (voorheen Twitter).