Mesmo após prisões, Kaspersky encontra novas versões do trojan bancário Grandoreiro

Em uma operação coordenada com a Interpol e outros agentes internacionais, em março deste ano, a Polícia Federal prendeu cinco indivíduos responsáveis pelo trojan bancário brasileiro Grandoreiro. No entanto, a Kaspersky revelou que as atividades não foram encerradas e duas novas versões já foram encontradas neste ano. Mundialmente, o trojan bancário brasileiro foi responsável por 150 mil tentativas de ataques, que têm como alvos correntistas de bancos em 45 países e mais de 276 carteiras digitais. Somente no Brasil, o trojan está programado para realizar fraudes em 52 instituições financeiras e a empresa de segurança já bloqueou mais de 56 mil ataques desde janeiro no País.

A Kaspersky desempenhou um papel crucial ao colaborar com as polícias ao redor do mundo e a Interpol para identificar e capturar os responsáveis, contribuindo com amostras de malware coletadas em cibercrimes nacionais e espanhóis durante investigações entre 2020 e 2022.

“O monitoramento de IPs forneceu dados importantes para a investigação. Juntamente com outras informações obtidas durante as diligências, foi possível identificar os criminosos responsáveis. A investigação se desenrolou até chegar no endereço real deles. No entanto, com a continuidade dos ataques, seguimos com o monitoramento constante das atividades do grupo e em contato com os especialistas da Kaspersky”, comenta Yuri Maia, chefe do Serviço de Investigação da Coordenação de Crimes de Alta Tecnologia da Polícia Federal do Brasil.

O trabalho constante da equipe de investigação da Kaspersky já resultou na identificação de duas novas versões do malware, ambas encontradas inicialmente no México. A primeira é uma versão completa e expandida do código original descoberta na metade do ano. Até então, o grupo tinha como alvos clientes de 900 instituições financeiras em 40 países, porém essa versão contava com 1.367 organizações financeiras mapeadas e distribuídas em 45 países. Em uma atualização recente (fim do 3º trimestre), os especialistas da empresa verificaram que a lista subiu novamente e conta agora com mais de 1.700 organizações.

Já a segunda versão foi encontrada recentemente (3º trimestre de 2024) e é uma versão “light”, que se baseia no código-fonte completo, mas que foi reduzida com o objetivo de atacar organizações financeiras específicas. Aproximadamente 30 bancos mexicanos estão no alvo dessa atividade, o que representa uma redução de 30% na quantidade de instituições mexicanas contidas na versão encontrada no primeiro semestre deste ano. Apesar de direcionada, os dados da empresa de segurança mostram que essa versão light foi responsável por 15 mil tentativas de ataques.

Para realizar as infecções, o grupo, ativo desde 2016, utiliza mensagens falsas massivas (spam) e técnica de engenharia social para enganar as vítimas e instalar o Grandoreiro. Uma vez infectado, dados sigilosos – especialmente bancários – são roubados. Seguindo um modelo de negócios de Malware como Serviço (MaaS), o Grandoreiro permitia que outros cibercriminosos comprassem o trojan para realizar fraudes financeiras em outros países.

Dados do Panorama de Ameaças de 2024 da Kaspersky mostram que o Grandoreiro assumiu a liderança no ranking de trojans bancários mais ativos na América Latina. E as telemetrias globais colocam o malware na 6ª posição global – sendo responsável por 5% de todas as tentativas de ataque bloqueadas pela empresa de segurança ao redor do mundo. No total, o trojan foi responsável por 150 mil detecções entre janeiro e outubro deste ano, sendo os principais países afetados o Brasil (56 mil bloqueios), México (51 mil), Espanha (11mil), Argentina (6,4mil) e Peru (4,4mil).

“Todas as evoluções recentes no código ressaltam a natureza evolutiva da ameaça. Versões fragmentadas e mais leves podem representar uma tendência que pode se estender do México e para outras regiões, além da América Latina. No entanto, acreditamos que apenas alguns afiliados confiáveis ​​têm acesso ao código-fonte do malware para desenvolver essas versões customizadas. O Grandoreiro opera de forma um pouco diferente do modelo tradicional de ‘Malware como Serviço’ ao qual estamos acostumados. Você não encontrará anúncios em fóruns clandestinos vendendo o pacote Grandoreiro; em vez disso, o acesso a ele parece ser limitado”, comenta Fabio Marenghi, investigador líder de Segurança na Kaspersky.