Novas variantes do malware bancário conhecido como Grandoreiro adotaram táticas mais sofisticadas para driblar medidas antifraude, destacando o contínuo desenvolvimento do software malicioso, apesar das tentativas das autoridades de desmantelar sua operação.
Novas variantes do malware bancário Grandoreiro surgem com táticas avançadas para evitar detecção
Segundo uma análise da Kaspersky divulgada na terça-feira, “apenas parte desta quadrilha foi presa: os demais operadores por trás do Grandoreiro seguem atacando usuários globalmente, desenvolvendo novos malwares e estabelecendo novas infraestruturas.”
Entre as novas táticas identificadas estão o uso de algoritmos de geração de domínios (DGA) para comunicação de comando e controle (C2), criptografia ciphertext stealing (CTS) e monitoramento de movimentos do mouse. Também foram observadas versões mais leves e locais do malware, focadas principalmente em clientes bancários no México.
Ativo desde 2016, o Grandoreiro evoluiu continuamente para se manter fora do radar, ampliando sua atuação para a América Latina e Europa. Ele é capaz de roubar credenciais de mais de 1.700 instituições financeiras em 45 países.
Evolução constante e modelo de negócio restrito
Operando sob o modelo de malware como serviço (MaaS), o Grandoreiro parece estar disponível apenas para criminosos cibernéticos selecionados e parceiros confiáveis. Uma das mudanças mais significativas deste ano foi a prisão de alguns membros da quadrilha, o que resultou na fragmentação do código base do malware.
Essa fragmentação resultou na existência de duas bases de código distintas: uma com amostras mais recentes e atualizadas, e outra com código legado, focada exclusivamente em usuários no México, atingindo clientes de aproximadamente 30 bancos.
O Grandoreiro é distribuído principalmente por e-mails de phishing, além de anúncios maliciosos veiculados no Google. Na fase inicial, um arquivo ZIP contém um arquivo legítimo e um carregador MSI, responsável por baixar e executar o malware.
Camuflagem e novos métodos de ataque
Campanhas observadas em 2023 utilizaram executáveis portáteis extremamente grandes (390 MB), disfarçados como drivers de SSD de dados externos da AMD, para evitar detecção por sandboxes.
O malware coleta informações sobre o sistema e a localização do IP. Ele também verifica se o nome de usuário contém os termos “John” ou “WORK” e, nesse caso, interrompe sua execução.
Notícias Relacionadas
Ataques Cibernéticos
Novos ataques em nuvem da TeamTNT para mineração de criptomoedas
O grupo TeamTNT intensifica ataques em ambientes nativos da nuvem, visando servidores Docker para mineração de criptomoedas, utilizando novas táticas e estratégias de monetização.
Ransomware Avançado
Crescimento do ransomware Fog: vulnerabilidades em VPNs SonicWall
Operações de ransomware, como Fog e Akira, exploram vulnerabilidades em VPNs SonicWall, comprometendo redes corporativas. Descubra as táticas utilizadas.
O Grandoreiro procura soluções antivírus como AVAST, Bitdefender, Kaspersky, Windows Defender, entre outros. Além disso, busca softwares de segurança bancária, como Topaz OFD e Trusteer.
Outra funcionalidade notável é a capacidade de detectar navegadores, clientes de e-mail, VPNs e aplicativos de armazenamento em nuvem, além de monitorar atividades nesses programas. O malware também atua como um clipper, redirecionando transações de criptomoedas para carteiras controladas pelos criminosos.
Os novos métodos de ataque incluem o uso de um CAPTCHA antes da execução da carga principal, dificultando a análise automatizada.
Atualizações recentes e evolução contínua
A versão mais recente do Grandoreiro recebeu atualizações significativas, como a capacidade de se autoatualizar, registrar teclas digitadas, selecionar países para listar vítimas, detectar soluções de segurança bancária, além de monitorar e-mails do Outlook para palavras-chave específicas.
O malware também rastreia movimentos do mouse para simular o comportamento humano, buscando enganar sistemas antifraude que utilizam biometria comportamental.
Os cibercriminosos obtêm as credenciais e transferem os fundos para contas de “laranjas” locais, utilizando aplicativos de transferência, criptomoedas ou cartões-presente. Esses laranjas, recrutados por meio de canais no Telegram, são pagos entre US$ 200 e US$ 500 por dia.
Ameaça global em ascensão
O acesso remoto às máquinas infectadas é facilitado por uma ferramenta baseada em Delphi chamada Operator, que exibe uma lista de vítimas sempre que elas acessam sites de instituições financeiras.
Conforme a Kaspersky, “os operadores do malware bancário Grandoreiro continuam a evoluir suas táticas e ferramentas para realizar ataques bem-sucedidos e evitar soluções de segurança.”
Trojans bancários brasileiros estão se tornando uma ameaça internacional, ocupando o espaço deixado por quadrilhas da Europa Oriental que migraram para o ransomware.
