A interrompção da operação do trojan bancário Grandoreiro pela Polícia Federal do Brasil e a Polícia Nacional da Espanha contou com apoio fundamental da Interpol. Quando ambas as corporações recorreram à organização internacional de polícia para pedir apoio na análise do material, a Unidade de Crimes Cibernéticos da Interpol assumiu a coordenação e lançou a operação que resultou na prisão cinco programadores e operadores brasileiros que estavam por trás das ações do malware bancário.
A Interpol contou com a ajuda das empresas Trend Micro, Kaspersky, ESET, Group-IB e Scitum, além Da Caixa Bank, instituição financeira da Espanha, que forneceram dados que levaram à identificação e detenção dos indivíduos que controlavam a infraestrutura do malware.
Em agosto de 2023, os relatórios analíticos identificaram correspondências entre as amostras, permitindo aos investigadores se aproximarem do grupo do crime organizado. Após uma série de reuniões de coordenação, A PF cumpriu cinco mandados de prisão temporária e 13 mandados de busca e apreensão em São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso. Também foram cumpridas ordens judiciais de apreensão e bloqueio de bens e valores com vistas à descapitalização da estrutura criminosa e com a finalidade recuperar os ativos.
Considerado uma grande ameaça à segurança cibernética nos países de língua espanhola desde 2017, o malware Grandoreiro é introduzido através de e-mails de phishing que se fazem passar por organizações reconhecidas como, por exemplo, tribunais de justiça, operadoras de telecomunicações e companhias de energia. Uma vez instalado, o malware rastreia as entradas feitas por meio do teclado do computador, simula a atividade do mouse, compartilha telas e exibe pop-ups enganosos, coletando dados como nomes de usuário, informações do sistema operacional, tempo de execução do dispositivo e, o mais importante, identificadores bancários.
Com controle total sobre as contas bancárias das vítimas, os criminosos as esvaziam, desviando os recursos roubados para uma rede de “laranjas” para fazer a lavagem do dinheiro antes de transferi-lo para o Brasil. Calcula-se que os criminosos tenham desviado mais de € 3,5 milhões. No entanto, segundo a Caixa Bank, o prejuízo poderia ter chegado a € 110 milhões se a quadrilha não tivesse sido desbaratada. A instituição financeira foi responsável por identificar que os operadores do trojan bancário estariam no Brasil.
Enfatizando a importância de uma abordagem coletiva, Craig Jones, diretor da Unidade de Crimes Cibernéticos da Interpol, disse que “o sucesso operacional ressalta vividamente a importância de compartilhar informações através da Interpol” “Além disso, por estarmos comprometidos em agir como uma ponte entre os setores público e privado, também preparamos o terreno para uma maior cooperação na região.”
A Interpol disse que continua a apoiar o Brasil e a Espanha, bem como outros países, enquanto as investigações estão em andamento.
Veja isso
Interpol prende 31 suspeitos de cibercrime em operação global
PF desbarata gangue de hackers suspeita de fraudar € 3,6 milhões
Como operava o Grandoreiro
O Grandoreiro é um trojan bancário baseado em Windows documentado pela primeira vez pela ESET em 2020 e tem sido uma das principais ameaças aos falantes do idioma espanhol desde o início de sua operação em 2017. O malware monitora ativamente a janela em primeiro plano, procurando processos do navegador da web relacionados a atividades bancárias. Se houver uma correspondência, ele inicia a comunicação com seus servidores de comando e controle (C&C).
Os invasores precisam interagir manualmente com o malware para carregar as injeções corretas na web, indicando uma abordagem direcionada e prática.
O malware exibe às vítimas janelas de pop-up falsas que procuram credenciais, simulam a entrada do mouse e do teclado para ajudar na navegação remota, enviam feeds ao vivo da tela da vítima, bloqueiam a visualização local para dificultar a detecção e intervenção e registram as teclas digitadas.
Os desenvolvedores do Grandoreiro lançavam atualizações frequentes para adicionar novos recursos e aprimorar as capacidades do malware, o que indica o uso contínuo do projeto por seus operadores.
Em agosto de 2022, um relatório da Zscaler mostrou uma campanha Grandoreiro dirigida a funcionários de empresas de alto valor na Espanha e no México.
