Descobriu-se que novas variantes de um malware bancário denominado Grandoreiro adotam novas táticas num esforço para contornar as medidas antifraude, indicando que o software program malicioso continua a ser desenvolvido ativamente, apesar dos esforços das autoridades para reprimir a operação.
“Apenas parte desta quadrilha foi presa: os operadores restantes por trás do Grandoreiro continuam atacando usuários em todo o mundo, desenvolvendo novos malwares e estabelecendo novas infraestruturas”, disse a Kaspersky em uma análise publicada terça-feira.
Alguns dos outros truques recentemente incorporados incluem o uso de um algoritmo de geração de domínio (DGA) para comunicações de comando e controle (C2), criptografia de roubo de texto cifrado (CTS) e rastreamento de mouse. Também foram observadas “versões locais mais leves” que se concentram especificamente em atingir clientes bancários no México.
Grandoreiro, ativo desde 2016, tem evoluído consistentemente ao longo do tempo, envidando esforços para permanecer indetectado, ao mesmo tempo que alarga o seu âmbito geográfico à América Latina e à Europa. É capaz de roubar credenciais de 1.700 instituições financeiras, localizadas em 45 países e territórios.
Diz-se que opera sob o modelo de malware como serviço (MaaS), embora as evidências apontem para que seja oferecido apenas para criminosos cibernéticos selecionados e parceiros confiáveis.
Um dos acontecimentos mais significativos deste ano em relação ao Grandoreiro são as prisões de alguns membros do grupo, um evento que levou à fragmentação da base de código Delphi do malware.
“Esta descoberta é apoiada pela existência de duas bases de código distintas em campanhas simultâneas: amostras mais recentes com código atualizado e amostras mais antigas que dependem da base de código legada, agora visando apenas usuários no México – clientes de cerca de 30 bancos”, disse Kaspersky.
Grandoreiro é distribuído principalmente por meio de e-mail de phishing e, em menor grau, por meio de anúncios maliciosos veiculados no Google. O primeiro estágio é um arquivo ZIP, que, por sua vez, contém um arquivo legítimo e um carregador MSI responsável por baixar e iniciar o malware.
Descobriu-se que as campanhas observadas em 2023 aproveitam executáveis portáteis extremamente grandes com um tamanho de arquivo de 390 MB, disfarçando-se como drivers SSD de dados externos da AMD para contornar sandboxes e passar despercebidos.
O malware bancário vem equipado com recursos para coletar informações do host e dados de localização de endereços IP. Ele também extrai o nome de usuário e verifica se contém as strings “John” ou “WORK” e, em caso afirmativo, interrompe sua execução.
“Grandoreiro procura soluções antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Home windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan e CrowdStrike”, disse a empresa. “Também procura softwares de segurança bancária, como Topaz OFD e Trusteer.”
Outra função notável do malware é verificar a presença de determinados navegadores da net, clientes de e-mail, VPN e aplicativos de armazenamento em nuvem no sistema e monitorar a atividade do usuário nesses aplicativos. Além disso, pode atuar como um clipper para redirecionar as transações de criptomoedas para carteiras sob o controle do agente da ameaça.
As cadeias de ataque mais recentes detectadas após as prisões deste ano incluem uma barreira CAPTCHA antes da execução da carga principal como forma de contornar a análise automática.
A versão mais recente do Grandoreiro também recebeu atualizações significativas, incluindo a capacidade de autoatualização, registrar pressionamentos de teclas, selecionar o país para listar as vítimas, detectar soluções de segurança bancária, usar o Outlook para enviar e-mails de spam e monitorar e-mails do Outlook em busca de palavras-chave específicas.
Ele também está equipado para capturar movimentos do mouse, sinalizando uma tentativa de imitar o comportamento do usuário e enganar os sistemas antifraude para que identifiquem a atividade como legítima.
“Esta descoberta destaca a evolução contínua de malware como o Grandoreiro, onde os atacantes estão cada vez mais incorporando táticas projetadas para combater soluções de segurança modernas que dependem de biometria comportamental e aprendizado de máquina”, disseram os pesquisadores.
Depois que as credenciais são obtidas, os agentes da ameaça sacam os fundos para contas pertencentes a mulas de dinheiro locais por meio de aplicativos de transferência, criptomoedas, cartões-presente ou caixas eletrônicos. As mulas são identificadas por meio de canais do Telegram, pagando-lhes de US$ 200 a US$ 500 por dia.
O acesso remoto à máquina da vítima é facilitado por meio de uma ferramenta baseada em Delphi chamada Operator, que exibe uma lista de vítimas sempre que elas começam a navegar no website de uma instituição financeira visada.
“Os agentes de ameaças por trás do malware bancário Grandoreiro estão continuamente evoluindo suas táticas e malware para realizar ataques com sucesso contra seus alvos e escapar das soluções de segurança”, disse Kaspersky.
“Os trojans bancários brasileiros já são uma ameaça internacional; eles estão preenchendo as lacunas deixadas pelas gangues do Leste Europeu que migraram para o ransomware.”
