Table of Contents
Variantes do Malware Grandoreiro: Evolução e Implicações
Novas variantes de um malware bancário chamado Grandoreiro foram descobertas adotando novas táticas em uma tentativa de eludir medidas antifraude, indicando que o software malicioso continua a ser ativamente desenvolvido, apesar dos esforços das autoridades para coibir a operação.
“Apenas uma parte dessa gangue foi presa: os operadores restantes por trás do Grandoreiro continuam atacando usuários em todo o mundo, desenvolvendo novos malwares e estabelecendo novas infraestruturas,” afirmou a Kaspersky em uma análise publicada na terça-feira.
Táticas Inovadoras e Distribuição
Entre os novos truques incorporados, observou-se o uso de um algoritmo de geração de domínios (DGA) para comunicações de comando e controle (C2), ciphertext stealing (CTS) para criptografia, e rastreamento de mouse. Também foram vistas “versões locais mais leves” focadas especificamente em atingir clientes bancários no México.
Características e Capacidade do Malware
O Grandoreiro, ativo desde 2016, tem evoluído constantemente, tomando medidas para permanecer indetectável e expandindo seu alcance geográfico para a América Latina e Europa. Ele é capaz de roubar credenciais de 1.700 instituições financeiras, localizadas em 45 países e territórios.
- Modelo de operação: malware-as-a-service (MaaS), embora evidências apontem para sua oferta restrita a cibercriminosos selecionados e parceiros de confiança.
- Arrestos recentes levaram à fragmentação do código Delphi do malware.
- Discovery de duas bases de código distintas: versões mais novas com código atualizado e versões antigas que utilizam uma base de código legada.
Distribuição e Mecanismos de Entrega
O Grandoreiro é distribuído principalmente através de emails de phishing e, em menor grau, através de anúncios maliciosos veiculados no Google. O primeiro estágio se apresenta como um arquivo ZIP que contém um arquivo legítimo e um carregador MSI, responsável por baixar e executar o malware.
Novas Campanhas e Funcionalidades
As campanhas observadas em 2023 foram encontradas para aproveitar executáveis portáteis extremamente grandes, com um tamanho de arquivo de 390 MB, disfarçando-se como drivers de SSD da AMD para contornar sandboxes e operar sob o radar.
- Funcionalidades do malware:
- Coleta de informações sobre o host e dados de localização do IP.
- Extração do nome de usuário e verificação de strings específicas.
- Busca por soluções anti-malware e software de segurança bancária.
- Capacidade de atuar como clipper para redirecionar transações de criptomoedas.
Implicações e Conclusões
“Essa descoberta destaca a evolução contínua de malwares como o Grandoreiro, onde atacantes estão incorporando táticas projetadas para neutralizar soluções de segurança modernas, que dependem de biometria comportamental e aprendizado de máquina,” afirmaram os pesquisadores.
Uma vez que as credenciais são obtidas, os agentes de ameaça movimentam os fundos para contas pertencentes a “mulas” locais por meio de aplicativos de transferência, criptomoeda ou cartões de presente. As mulas são identificadas utilizando canais do Telegram, recebendo entre $200 a $500 por dia.
Acesso remoto à máquina da vítima é facilitado através de uma ferramenta baseada em Delphi chamada Operator, que exibe uma lista de vítimas sempre que elas começam a navegar em um site de instituição financeira alvo.
“Os agentes de ameaça por trás do malware bancário Grandoreiro estão continuamente evoluindo suas táticas e malware para realizar ataques com sucesso e evadir soluções de segurança,” concluiu a Kaspersky.
Grandoreiro representa uma ameaça internacional crescente, especialmente como os trojans bancários brasileiros preenchem as lacunas deixadas por gangues da Europa Oriental que migraram para o ransomware.
#Grandoreiro, #Malware, #Cibersegurança, #Phishing, #Bancário, #Kaspersky, #Cibercrime, #SegurançaDigital, #MalwareAsAService, #EvoluçãoMalware