A Polícia Federal interrompeu nesta terça-feira, 30, a operação do trojan bancário Grandoreiro, que tem como alvo países de língua espanhola e vinha realizando fraudes financeiras desde 2017. A operação, que recebeu o mesmo nome do malware, foi apoiada pela empresa de segurança cibernética ESET, Interpol, Polícia Nacional da Espanha e Caixa Bank, que forneceram dados que levaram à identificação e detenção dos indivíduos que controlavam a infraestrutura do malware.
A investigação contou também com informações e apoio da força-tarefa Tentáculos, instituída para a repressão a fraudes bancárias eletrônicas e que envolve a cooperação entre a Polícia Federal e as instituições bancárias.
Durante a operação, a PF cumpriu cinco mandados de prisão temporária e 13 mandados de busca e apreensão em São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso. Também foram cumpridas ordens judiciais de apreensão e bloqueio de bens e valores com vistas à descapitalização da estrutura criminosa e com a finalidade recuperar os ativos.
“Nesta terça-feira, 30 de janeiro, a Polícia Federal lançou a Operação Grandoreiro para investigar as atividades de um grupo criminoso responsável por fraudes bancárias eletrônicas, usando malware bancário com vítimas fora do Brasil”, disse a PF em um comunicado de imprensa.
A estrutura criminosa é suspeita de movimentar por meio de fraude, desde 2019, ao menos € 3,6 milhões — cerca de R$ 19, 3 milhões. O Caixa Bank, instituição financeira da Espanha, além do prejuízo causado, identificou-se que houve tentativas de fraude com a utilização do malware bancário brasileiro que chegaria a € 110 milhões de prejuízo. Informações enviadas pelo banco espanhol, aliás, foram o que deram início às apurações. O Caixa Bank também foi responsável por identificar que os operadores do trojan bancário estariam no Brasil.
Os investigados se valiam de servidores na nuvem para hospedar a infraestrutura utilizada nas campanhas do Grandoreiro. A utilização de programas de comando e controle (C&C) permitia o acesso remoto dos computadores das vítimas, oportunidade em que eram realizados os furtos de valores de forma cibernética.
A infecção dos equipamentos das vítimas era realizada com o envio de e-mails contendo mensagens maliciosas (phishing) que induziam as vítimas a acreditarem que se tratava de informações oficiais como, por exemplo, intimações judiciais, cobranças de faturas vencidas, notas fiscais, dentre outros. No momento em que as vítimas abriam o anexo ou clicavam no link responsável pelo download do arquivo malicioso, o programa era executado em segundo plano, oportunidade em que o computador da vítima ficava vulnerável aos criminosos.
Os valores foram direcionados para contas de integrantes do grupo criminoso que “emprestavam” suas contas para movimentação dos valores ilícitos.
Veja isso
PF faz operação contra fraudes na compra de criptomoedas
PF prende na Bahia suspeito de integrar o grupo Lapsus$
Como opera o Grandoreiro
O Grandoreiro é um trojan bancário baseado em Windows documentado pela primeira vez pela ESET em 2020 e tem sido uma das principais ameaças aos falantes do idioma espanhol desde o início de sua operação em 2017. O malware monitora ativamente a janela em primeiro plano, procurando processos do navegador da web relacionados a atividades bancárias. Se houver uma correspondência, ele inicia a comunicação com seus servidores de comando e controle (C&C).
Os invasores precisam interagir manualmente com o malware para carregar as injeções corretas na web, indicando uma abordagem direcionada e prática.
O malware exibe às vítimas janelas de pop-up falsas que procuram credenciais, simulam a entrada do mouse e do teclado para ajudar na navegação remota, enviam feeds ao vivo da tela da vítima, bloqueiam a visualização local para dificultar a detecção e intervenção e registram as teclas digitadas.
Os desenvolvedores do Grandoreiro lançavam atualizações frequentes para adicionar novos recursos e aprimorar as capacidades do malware, o que indica o uso contínuo do projeto por seus operadores.
Em agosto de 2022, um relatório da Zscaler mostrou uma campanha Grandoreiro dirigida a funcionários de empresas de alto valor na Espanha e no México.
Não está claro se os indivíduos detidos tiveram um papel de liderança na operação ou se existe o risco de o Grandoreiro regressar no futuro utilizando novas infraestruturas.