Eset fornece Dados para operação global para destruir trojan bancário na AL e Espanha

A Eset, empresa que atua em detecção proativa de ameaças, colaborou com a Polícia Federal do Brasil em uma tentativa de desmantelar a botnet Grandoreiro, trojan bancário com atuação incisiva na américa latina, com foco Brasil, México, Espanha e Argentina.

Esta operação de interrupção visava cybercriminosos de posições elevadas na hierarquia operacional do Grandoreiro. A investigação da Polícia Federal do Brasil levou à identificação e múltiplas detenções dos indivíduos que controlavam a botnet. Durante a investigação, a equipe de pesquisa da Eset forneceu Dados cruciais para identificar as contas responsáveis por configurar e conectar-se aos servidores C&C.

O malware analizado permite:
 Bloquear as telas das vítimas;

 Registrar pressionamentos de teclas;

 Simular atividade do mouse e do teclado;

 Compartilhar a(s) tela(s) das vítimas;

 Exibir janelas pop-up falsas.

Estas funcionalidades do Grandoreiro não mudaram muito desde a última pesquisa da Eset sobre o grupo em 2020, mas tem passado por um desenvolvimento rápido e constante. Era comum encontrar novas variantes do código malicioso por semana; por exemplo, entre fevereiro de 2022 e junho de 2022, a Eset observou uma nova versão a cada quatro dias, em média.

“Os sistemas automatizados da Eset processaram dezenas de milhares de amostras do Grandoreiro. O algoritmo de geração de domínio (DGA) que o malware vem utilizando desde aproximadamente outubro de 2020 gera um domínio principal por dia, sendo a única forma pela qual o Grandoreiro pode estabelecer uma conexão com um servidor de comando e controle. Além da data, a DGA também aceita configurações adicionais para fazer campanhas mais dirigidas”, afirmou o pesquisador da Eset, Jakub Souček, que coordenou a equipe que analisou o Grandoreiro e outros trojans bancários latino-americanos. “O Grandoreiro é semelhante a outros trojans bancários latino-americanos principalmente por sua funcionalidade principal evidente e por agrupar seus downloaders dentro dos instaladores MSI”, explicou.

A implementação do protocolo de rede do Grandoreiro permitiu à equipe de pesquisa da Eset dar uma olhada por trás da cortina e vislumbrar a vitimologia. Os servidores C&C do Grandoreiro fornecem informações sobre as vítimas conectadas no momento da solicitação inicial feita a cada vítima recém- conectada.

Ao examinar esses Dados por mais de um ano, a Eset concluiu que 66% eram usuários do Windows 10, 13% usavam o Windows 7, o Windows 8 representava 12%, e 9% eram usuários do Windows 11. Dado que o Grandoreiro relata uma distribuição geográfica pouco confiável de suas vítimas, a telemetria da Eset foi usada como referência: a Espanha representa 65% de todas as vítimas, seguida pelo México com 14%, Brasil com 7% e Argentina com 5%; os 9% restantes das vítimas estão em outros países da América Latina. A Eset também observou que, em 2023, houve uma diminuição significativa da atividade do Grandoreiro na Espanha, compensada por um aumento de campanhas no México e Argentina.

Para obter mais informações técnicas sobre o Grandoreiro, consulte a postagem no blog “ESET participa em operação global para interromper o trojan bancário Grandoreiro” no We Live Security.

Freepik