Quase quatro meses após a interrupção da operação do trojan bancário brasileiro Grandoreiro pela Polícia Federal do Brasil e a Polícia Nacional da Espanha, o malware voltou a se disseminar por meio de uma campanha de phishing em grande escala, envolvendo mais de 60 países, visando contas de clientes de cerca de 1.500 bancos.
A operação internacional de aplicação da lei que derrubou o servidor da gangue de hackers envolveu, além das polícias de Brasil e Espanha, a Interpol, a empresa de cibersegurança ESET e a Caixa Bank. O grupo tinha como alvo países de língua espanhola desde 2017 e causou perdas de US$ 120 milhões.
Na ocasião foram feitas cinco prisões e treze ações de busca e apreensão em todo o Brasil. No entanto, nenhuma informação foi fornecida sobre o papel dos detidos na operação.
A equipe X-Force da IBM relata que o Grandoreiro parece ter retornado às operações em grande escala desde março, provavelmente alugado para cibercriminosos por meio de um modelo de malware-as-a-service (MaaS) que agora passaram a mirar também países de língua inglesa.
Além disso, o próprio trojan passou por uma reformulação técnica que adicionou novos recursos e melhorias poderosas, indicando que seus criadores escaparam da prisão e não foram dissuadidos pela repressão anterior.
Como vários operadores de ameaças alugam o malware, as iscas de phishing são diversas e criadas especificamente para as organizações que um determinado cibercriminoso tem como alvo.
Os e-mails de phishing vistos pela IBM se fazem passar por entidades governamentais no México, Argentina e África do Sul, principalmente organizações de administração tributária, serviços fiscais e comissões federais de eletricidade. Os e-mails são escritos no idioma nativo do destinatário, incorporam logotipos e formatos oficiais e contêm um apelo à ação, como clicar em links para visualizar faturas, extratos de conta ou documentos fiscais. Quando os destinatários clicam nesses e-mails, são redirecionados para uma imagem de um PDF que aciona o download de um arquivo ZIP contendo um executável “inchado” (100 MB), que é o carregador Grandoreiro.
O IBM X-Force notou vários novos recursos e atualizações significativas na variante mais recente do trojan bancário Grandoreiro, tornando-o uma ameaça mais evasiva e eficaz. Entre eles estão o algoritmo de descriptografia de string retrabalhado e aprimorado usando uma combinação de AES CBC e decodificador personalizado; atualizações no algoritmo de geração de domínio (DGA), que agora inclui múltiplas “sementes” para separar as comunicações de comando e controle (C&C) das tarefas do operador.
Veja isso
Novo trojan bancário é detectado circulando no Brasil
Interpol teve papel chave na prisão de grupo hacker brasileiro
A equipe X-Force da IBM cita também o novo mecanismo que visa usuários do Outlook, da Microsoft, desativando alertas de segurança e utilizando-os para enviar phishing a novos alvos; o novo mecanismo de persistência baseado na criação de chaves Run do registro (‘HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run’ e ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’)
Além disso, os analistas listam a ampliação do direcionamento de aplicações bancárias e inclusão de carteiras de criptomoedas e a expansão do conjunto de comandos, agora incluindo controle remoto, upload/download de arquivos, keylogging e manipulação do navegador por meio de comandos JavaScript.
Outro novo recurso é a capacidade do Grandoreiro de realizar perfis detalhados da vítima e decidir se será ou não executado no dispositivo, o que dá aos operadores melhor controle do escopo de sua segmentação.
Os analistas da IBM relatam que a versão mais recente do trojan evita a execução em países específicos como Rússia, República Tcheca, Holanda e Polônia, bem como em máquinas com Windows 7 nos Estados Unidos, onde nenhum antivírus está ativo.
Enfim, apesar das recentes operações policiais, o Grandoreiro está vivo e, ao que tudo indica, parece mais forte do que nunca.
Para ter acesso às análises dos novos recursos do Grandoreiro, feitas pelos especialistas Golo Mühr e Melissa Frydrych, da equipe do IBM X-Force, clique aqui.