Una operación policial brasileña ha llevado al arresto de varios operadores brasileños responsables del Grandoreiro malware.
La Policía Federal de Brasil dicho cumplió cinco órdenes de detención temporal y 13 órdenes de allanamiento e incautación en los estados de São Paulo, Santa Catarina, Pará, Goiás y Mato Grosso.
La firma eslovaca de ciberseguridad ESET, que brindó asistencia adicional en el esfuerzo, dijo que descubrió una falla de diseño en el protocolo de red de Grandoreiro que le ayudó a identificar los patrones de victimología.
Grandoreiro es uno de los muchos troyanos bancarios latinoamericanos como Javali, Melcoz, Casabeniero, Mekotio y Vadokrist, que se dirigen principalmente a países como España, México, Brasil y Argentina. Se sabe que está activo desde 2017.
A finales de octubre de 2023, Proofpoint reveló detalles de una campaña de phishing que distribuyó una versión actualizada del malware a objetivos en México y España.
El troyano bancario tiene capacidades para robar datos a través de registradores de pulsaciones de teclas y capturas de pantalla, así como para desviar información de inicio de sesión bancaria de las superposiciones cuando una víctima infectada visita sitios bancarios predeterminados objetivo de los actores de la amenaza. También puede mostrar ventanas emergentes falsas y bloquear la pantalla de la víctima.
Las cadenas de ataque suelen aprovechar señuelos de phishing que contienen documentos señuelo o URL maliciosas que, cuando se abren o se hace clic, conducen a la implementación de malware, que luego establece contacto con un servidor de comando y control (C&C) para controlar remotamente la máquina de forma manual. .
«Grandoreiro monitorea periódicamente la ventana de primer plano para encontrar una que pertenezca a un proceso de navegador web», ESET dicho.
«Cuando se encuentra una ventana de este tipo y su nombre coincide con cualquier cadena de una lista codificada de cadenas relacionadas con el banco, entonces y sólo entonces el malware inicia la comunicación con su servidor C&C, enviando solicitudes al menos una vez por segundo hasta que se termina».
También se sabe que los actores de amenazas detrás del malware emplean un algoritmo de generación de dominio (DGA) desde aproximadamente octubre de 2020 para identificar dinámicamente un dominio de destino para el tráfico C&C, lo que dificulta bloquear, rastrear o hacerse cargo de la infraestructura.
La mayoría de las direcciones IP a las que resuelven estos dominios son proporcionadas principalmente por Amazon Web Services (AWS) y Microsoft Azure, y la vida útil de las direcciones IP de C&C oscila entre 1 y 425 días. En promedio, hay 13 direcciones IP de C&C activas y tres nuevas por día, respectivamente.
ESET también dijo que la implementación defectuosa de Grandoreiro de su protocolo de red RealThinClient (RTC) para C&C hizo posible obtener información sobre la cantidad de víctimas que están conectadas al servidor de C&C, que es de 551 víctimas únicas en promedio en un día, en promedio, distribuidas principalmente en Brasil. , México y España.
Investigaciones adicionales han descubierto que un promedio de 114 nuevas víctimas únicas se conectan a los servidores de C&C cada día.
«La operación de interrupción liderada por la Policía Federal de Brasil estaba dirigida a personas que se cree que están en lo alto de la jerarquía de la operación Grandoreiro», dijo ESET.