Em janeiro deste ano, a Polícia Federal realizou mandados de prisão temporária e de busca e apreensão em estados como São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso do Sul em uma investigação do grupo de cibercriminosos que operavam a infraestrutura do malware bancário Grandoreiro.
Junto de pesquisadores de segurança cibernética e autoridades internacionais — como a Polícia Nacional da Espanha e Interpol —, a PF conseguiu interromper a operação do malware que tinha como alvo países de língua espanhola. De acordo com a PF, o grupo é suspeito de movimentar cerca de 3,6 milhões de euros desde 2019.
Porém, este não foi o fim da campanha cibercrimina. Recentemente, a equipe de pesquisadores da IBM relatou que o malware voltou a operar a partir de março de 2024. Agora, como reportou o Bleeping Computer, os agentes maliciosos também estão visando atacar países de língua inglesa.
Mais de 60 países são alvo do Grandoreiro
Da mesma forma que era operado anteriormente, a campanha do Grandoreiro está sendo disseminada via golpes de phishing e são criadas especificamente para cada instituição financeira. Nos e-mails vistos pela IBM, os criminosos se passam por entidades governamentais do México, Argentina e África do Sul, relacionadas a administração tributária, serviços fiscais e de eletricidade.
A equipe X-Force da IBM relata que a nova variante desse malware visa realizar fraudes financeiras em mais de 1.500 bancos globais de mais de 60 países, incluindo América Central e Sul, África, Europa, Indo-Pacífico e mais.
As comunicações são escritas no idioma da vítima e contam com logotipos e é bem formatado. Como é possível conferir na imagem abaixo, os e-mails fraudulentas pedem que a vítima realiza uma ação como clicar em links para visualizar faturas, extratos de conta, documentos, etc.
Como funciona o malware
Grandoreiro é um trojan bancário para Windows, identificado pela primeira vez em 2020, que tem sido uma grande ameaça para usuários que falam espanhol desde 2017. Ele monitora atividades bancárias no navegador e se comunica com servidores de comando e controle quando detecta tais atividades.
Os invasores interagem manualmente com o malware para realizar roubos financeiros, usando técnicas como janelas pop-up falsas, simulação de entradas de mouse e teclado, transmissão ao vivo da tela da vítima, bloqueio de visualização local e registro de teclas digitadas.
Grandoreiro está mais forte
Conforme listou o Bleeping Computer, o Grandoreiro foi reforçado pelos cibercriminosos incluindo novos recursos que tornam mais difícil detectá-lo. Essas novidades incluem:
-
Descriptografia aprimorada: o trojan agora usa um algoritmo de descriptografia melhorado que combina AES CBC com um decodificador personalizado.
-
Geração de domínios: o algoritmo de geração de domínios (DGA) foi atualizado para usar múltiplas sementes, separando melhor as comunicações entre comandos e tarefas.
-
Alvo no Outlook: um novo recurso desativa alertas de segurança no Microsoft Outlook e o utiliza para enviar e-mails de phishing.
-
Persistência: o malware agora se mantém ativo criando chaves no registro do Windows.
-
Aplicações bancárias e criptomoedas: o trojan expandiu seu alcance para incluir mais aplicativos bancários e carteiras de criptomoedas.
-
Comandos ampliados: agora inclui controle remoto, upload/download de arquivos, registro de teclas digitadas e manipulação do navegador via JavaScript.
-
Perfis de vítimas: o Grandoreiro pode criar perfis detalhados das vítimas para decidir se deve ser executado no dispositivo, permitindo um controle mais preciso.
FIQUE POR DENTRO!
