A Eset, empresa que atua em detecção proativa de ameaças, colaborou com a Polícia Federal do Brasil em uma tentativa de desmantelar a botnet Grandoreiro, trojan bancário com atuação incisiva na américa latina, com foco Brasil, México, Espanha e Argentina.
Esta operação de interrupção visava cybercriminosos de posições elevadas na hierarquia operacional do Grandoreiro. A investigação da Polícia Federal do Brasil levou à identificação e múltiplas detenções dos indivíduos que controlavam a botnet. Durante a investigação, a equipe de pesquisa da Eset forneceu Dados cruciais para identificar as contas responsáveis por configurar e conectar-se aos servidores C&C.
O malware analizado permite:
Bloquear as telas das vítimas;
Registrar pressionamentos de teclas;
Simular atividade do mouse e do teclado;
Compartilhar a(s) tela(s) das vítimas;
Exibir janelas pop-up falsas.
Estas funcionalidades do Grandoreiro não mudaram muito desde a última pesquisa da Eset sobre o grupo em 2020, mas tem passado por um desenvolvimento rápido e constante. Era comum encontrar novas variantes do código malicioso por semana; por exemplo, entre fevereiro de 2022 e junho de 2022, a Eset observou uma nova versão a cada quatro dias, em média.
“Os sistemas automatizados da Eset processaram dezenas de milhares de amostras do Grandoreiro. O algoritmo de geração de domínio (DGA) que o malware vem utilizando desde aproximadamente outubro de 2020 gera um domínio principal por dia, sendo a única forma pela qual o Grandoreiro pode estabelecer uma conexão com um servidor de comando e controle. Além da data, a DGA também aceita configurações adicionais para fazer campanhas mais dirigidas”, afirmou o pesquisador da Eset, Jakub Souček, que coordenou a equipe que analisou o Grandoreiro e outros trojans bancários latino-americanos. “O Grandoreiro é semelhante a outros trojans bancários latino-americanos principalmente por sua funcionalidade principal evidente e por agrupar seus downloaders dentro dos instaladores MSI”, explicou.
A implementação do protocolo de rede do Grandoreiro permitiu à equipe de pesquisa da Eset dar uma olhada por trás da cortina e vislumbrar a vitimologia. Os servidores C&C do Grandoreiro fornecem informações sobre as vítimas conectadas no momento da solicitação inicial feita a cada vítima recém- conectada.
Ao examinar esses Dados por mais de um ano, a Eset concluiu que 66% eram usuários do Windows 10, 13% usavam o Windows 7, o Windows 8 representava 12%, e 9% eram usuários do Windows 11. Dado que o Grandoreiro relata uma distribuição geográfica pouco confiável de suas vítimas, a telemetria da Eset foi usada como referência: a Espanha representa 65% de todas as vítimas, seguida pelo México com 14%, Brasil com 7% e Argentina com 5%; os 9% restantes das vítimas estão em outros países da América Latina. A Eset também observou que, em 2023, houve uma diminuição significativa da atividade do Grandoreiro na Espanha, compensada por um aumento de campanhas no México e Argentina.
Para obter mais informações técnicas sobre o Grandoreiro, consulte a postagem no blog “ESET participa em operação global para interromper o trojan bancário Grandoreiro” no We Live Security.
Freepik
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo