Descobriu-se que uma nova variante do malware bancário, chamada Grandoreiro, utiliza novas táticas numa tentativa de contornar as medidas antifraude, indicando que o software malicioso continua a ser desenvolvido, apesar dos esforços das autoridades para eliminá-lo.
“Apenas uma parte deste grupo foi presa: os condutores por trás do Grandoreiro continuam a atacar utilizadores em todo o mundo, continuam a desenvolver novos malwares e a criar novas infraestruturas”, afirmou a Kaspersky numa análise publicada esta terça-feira.
Outras táticas recentemente introduzidas incluem o uso do algoritmo de geração de domínio (DGA) para comunicações de comando e controle (C2), roubo de texto cifrado (CTS) e rastreamento de mouse. Também são reconhecidas as “versões simples e localizadas” que se concentram em atingir clientes bancários mexicanos.
Grandoreiro, em atividade desde 2016, evoluiu de forma consistente ao longo do tempo, envidando esforços para permanecer invisível, ao mesmo tempo em que expandiu sua presença na América Latina e na Europa. É capaz de roubar informações de 1.700 instituições financeiras, localizadas em 45 países e territórios.
Diz-se que opera sob um modelo de malware como serviço (MaaS), embora as evidências sugiram que é oferecido apenas para hackers selecionados e parceiros confiáveis.
Uma das coisas mais importantes deste ano sobre Grandoreiro é a prisão de alguns membros do grupo, evento que levou à divisão da base de código Delphi do malware.
“Essa descoberta é apoiada pela presença de dois códigos diferentes nas campanhas ao mesmo tempo: novas amostras com código atualizado, e amostras antigas que dependem da base de código legada, agora direcionada apenas para usuários no México – clientes de cerca de 30 bancos, “, disse Kaspersky.
Grandoreiro é distribuído principalmente através de e-mails de phishing e, em menor escala, através de anúncios maliciosos veiculados no Google. A primeira seção é o arquivo ZIP, que, por sua vez, contém o arquivo oficial e o carregador MSI responsável por baixar e lançar o malware.
Descobriu-se que as campanhas vistas em 2023 estavam aumentando executáveis muito grandes com um tamanho de arquivo de 390 MB, disfarçados de drivers SSD de dados externos da AMD para contornar sandboxes e passar despercebidos.
O malware bancário vem equipado com recursos para coletar informações do host e dados de localização de endereços IP. Ele também extrai o nome de usuário e verifica se contém a string “John” ou “JOB” e, em caso afirmativo, interrompe sua execução.
“Grandoreiro procura soluções antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan e CrowdStrike”, disse a empresa. “Ele também analisa softwares de segurança bancária, como Topaz OFD e Trusteer.”
Outra atividade notável do malware é verificar a presença de outros navegadores da web, clientes de e-mail, VPN e aplicativos de armazenamento em nuvem no sistema e monitorar a atividade do usuário nesses aplicativos. Além disso, pode servir como um patch para redirecionar transações de criptomoedas para carteiras sob o controle de um agente de ameaça.
Novas cadeias de ataque descobertas após serem desbloqueadas este ano incluem uma barreira CAPTCHA antes que a carga principal seja liberada como forma de obter análise automatizada.
A versão mais recente do Grandoreiro também recebeu atualizações importantes, incluindo a capacidade de se atualizar, chaves de login, escolha de um país para incluir na lista de vítimas, encontrar soluções de segurança bancária, usar o Outlook para enviar e-mails de spam e monitorar e-mails do Outlook com determinadas palavras-chave.
Ele também é equipado para capturar movimentos do mouse, indicando uma tentativa de imitar o comportamento do usuário e enganar os sistemas antifraude para que identifiquem a atividade como legítima.
“Essas descobertas destacam a evolução contínua de malware como o Grandoreiro, onde os invasores combinam cada vez mais táticas projetadas para combater soluções de segurança modernas que dependem de biometria comportamental e aprendizado de máquina”, disseram os pesquisadores.
Depois que as credenciais são obtidas, os agentes da ameaça retiram dinheiro das contas das mulas monetárias locais usando aplicativos de transferência, criptomoedas, cartões-presente ou caixas eletrônicos. As mulas são identificadas por meio de canais do Telegram, pagando-lhes de US$ 200 a US$ 500 por dia.
O acesso remoto à máquina da vítima é feito por meio de uma ferramenta baseada em Delphi chamada Operator, que exibe uma lista de vítimas sempre que elas começam a navegar no site da instituição financeira alvo.
“Os agentes de ameaças por trás do malware bancário Grandoreiro continuam a mudar suas táticas e malware para atacar com sucesso seus alvos e escapar das soluções de segurança”, disse Kaspersky.
“Os trojans bancários brasileiros ainda são uma ameaça internacional; eles estão preenchendo as lacunas deixadas pelas gangues do Leste Europeu que migraram para o ransomware.”
