Une opération des forces de l’ordre brésiliennes a permis l’arrestation de plusieurs opérateurs brésiliens en charge du Grandoreiro malware.
La police fédérale du Brésil dit il a exécuté cinq mandats d’arrêt temporaires et 13 mandats de perquisition et de saisie dans les États de São Paulo, Santa Catarina, Pará, Goiás et Mato Grosso.
La société slovaque de cybersécurité ESET, qui a fourni une assistance supplémentaire dans cet effort, a déclaré avoir découvert un défaut de conception dans le protocole réseau de Grandoreiro qui l’a aidée à identifier les modèles de victimologie.
Grandoreiro est l’un des nombreux chevaux de Troie bancaires d’Amérique latine tels que Javali, Melcoz, Casabeniero, Mekotio et Vadokrist, ciblant principalement des pays comme l’Espagne, le Mexique, le Brésil et l’Argentine. Il est connu pour être actif depuis 2017.
Fin octobre 2023, Proofpoint a révélé les détails d’une campagne de phishing qui a distribué une version mise à jour du malware à des cibles au Mexique et en Espagne.
Le cheval de Troie bancaire a la capacité à la fois de voler des données via des enregistreurs de frappe et des captures d’écran, ainsi que de siphonner les informations de connexion bancaire à partir des superpositions lorsqu’une victime infectée visite des sites bancaires prédéterminés ciblés par les acteurs malveillants. Il peut également afficher de fausses fenêtres pop-up et bloquer l’écran de la victime.
Les chaînes d’attaque exploitent généralement des leurres de phishing contenant des documents leurres ou des URL malveillantes qui, lorsqu’ils sont ouverts ou cliqués, conduisent au déploiement de logiciels malveillants, qui établissent ensuite le contact avec un serveur de commande et de contrôle (C&C) pour contrôler à distance la machine de manière manuelle. .
« Grandoreiro surveille périodiquement la fenêtre de premier plan pour en trouver une qui appartient au processus d’un navigateur Web », ESET dit.
« Lorsqu’une telle fenêtre est trouvée et que son nom correspond à n’importe quelle chaîne d’une liste codée en dur de chaînes liées à la banque, alors et seulement alors, le malware initie la communication avec son serveur C&C, envoyant des requêtes au moins une fois par seconde jusqu’à ce qu’il soit terminé. »
Les auteurs de la menace derrière le malware sont également connus pour utiliser un algorithme de génération de domaine (DGA) depuis environ octobre 2020 pour identifier dynamiquement un domaine de destination pour le trafic C&C, ce qui rend plus difficile le blocage, le suivi ou la prise en charge de l’infrastructure.
La majorité des adresses IP auxquelles ces domaines sont résolus sont fournies principalement par Amazon Web Services (AWS) et Microsoft Azure, la durée de vie des adresses IP C&C étant comprise entre 1 jour et 425 jours. En moyenne, il y a respectivement 13 adresses IP C&C actives et trois nouvelles par jour.
ESET a également déclaré que la mise en œuvre défectueuse par Grandoreiro de son protocole réseau RealThinClient (RTC) pour C&C a permis d’obtenir des informations sur le nombre de victimes connectées au serveur C&C, soit 551 victimes uniques par jour en moyenne, principalement réparties à travers le Brésil. , le Mexique et l’Espagne.
Une enquête plus approfondie a révélé qu’un nombre moyen de 114 nouvelles victimes uniques se connectent chaque jour aux serveurs C&C.
« L’opération de perturbation menée par la police fédérale du Brésil visait des individus soupçonnés d’être haut placés dans la hiérarchie de l’opération Grandoreiro », a déclaré ESET.