Trojan desenvolvido no Brasil atacou bancos na Espanha

Paulo Brito
15/04/2020

Batizado com o nome de ‘Grandoreiro’, o trojan  opera com overlay remoto e foi mesmo desenvolvido no Brasil, conforme pistas encontradas em seu código

trojan-bancario.jpg

Dois pesquisadores da IBM X-Force encontraram um trojan brasileiro atacando clientes de bancos na Espanha: batizado como ‘grandoreiro’, aparentemente ele migrou para a Espanha sem modificações significativas, contam os pesquisadores Dani Abramov e Limor Kessem. Uma análise do código mostrou que eles são de 80 a 90% idênticos. 

A similaridade indica que os atacantes operando com o Grandoreiro na Espanha têm alguma ligação com o cibercrime do Brasil. Ainda não está claro, porém, se os brasileiros estão colaborando com atacantes na Espanha ou se ampliaram seus ataques para a região. Atualmente, os trojans de overlay remoto são fáceis de encontrar e de comprar nos mercados da dark web.

Desta vez, o malware foi descoberto associado a vídeos enviados a vítimas com o tema Covid-19, induzindo os usuários a rodarem um executável oculto, infectando assim seus dispositivos com o malware, projetado para esvaziar suas contas bancárias. Uma vez ativo no dispositivo infectado, o ‘grandoreiro’ aguarda em segundo plano a vítima tomar uma ação que irá acioná-lo – como, por exemplo, navegar no site de um banco alvo. É quando o malware invoca o recurso de acesso remoto do malware e ataca a vítima em tempo real, lançando imagens falsas na tela para induzí-la a manter a sessão ativa e fornecer informações que podem ajudar o invasor. 

Normalmente, depois que o usuário entra no site do banco, o invasor é notificado e pode assumir o controle do dispositivo remotamente, interagindo com a vítima. Quando a vítima acessa sua conta bancária on-line, o atacante pode exibir imagens de sobreposição na tela (daí o nome “sobreposição remota”) projetadas para parecer que fazem parte do site do banco. Essas páginas podem bloquear o acesso da vítima ao site, permitindo que o invasor utilize a sessão para fazer movimentações bancárias, ou incluir campos de dados adicionais que o usuário é solicitado a preencher.

Seja como for, é justamente em segundo plano que o atacante inicia transferências fraudulentas de dinheiro da conta comprometida e aproveita a presença da vítima em tempo real para obter dela todas as informações necessárias para o roubo.

Os pesquisadores da X-Force que analisaram os recentes ataques desse malware fizeram as seguintes observações:

1) ele geralmente é transmitido em campanhas de spam que contém um URL associado a uma zona de infecção;

2) o primeiro estágio da infecção é um ‘loader’; a X-Force localizou vários loaders usados pelos atacantes do grandoreiro mascarados como arquivos de fatura com extensão .msi e armazenados em um repositório GitHub facilmente acessível;

3) o segundo estágio da infecção busca o payload do grandoreiro por meio de uma URL codificada no código do loader;

4) o grandoreiro é executado e infecta o dispositivo

Como agências internacionais

Compartilhar: