No dia 30 de janeiro, uma operação conjunta entre a Polícia Federal brasileira, ESET, Interpol, Polícia Nacional da Espanha e Caixa Bank desmantelou o trojan bancário Grandoreiro, ativo desde 2017 e focado em países de língua espanhola, perpetrando fraudes financeiras em larga escala. 

A investigação, apoiada pela força-tarefa Tentáculos, resultou na identificação e detenção dos responsáveis pela infraestrutura do Grandoreiro.

Durante a operação, cinco mandados de prisão temporária e 13 mandados de busca e apreensão foram executados em diversos estados brasileiros, visando desmantelar a estrutura criminosa, recuperar ativos e bloquear bens relacionados às atividades ilícitas. 

A organização criminosa movimentou pelo menos € 3,6 milhões desde 2019, causando prejuízos significativos ao Caixa Bank, que estimou tentativas de fraude em até € 110 milhões.

A parceria crucial com o Caixa Bank permitiu iniciar as investigações, revelando que os operadores do Grandoreiro estavam localizados no Brasil. 

A infraestrutura criminosa utilizava servidores na nuvem para hospedar suas campanhas, facilitando a movimentação cibernética dos valores.

O método de infecção envolvia o envio de e-mails com phishing, levando as vítimas a abrir anexos ou clicar em links que resultavam na infecção de seus computadores, possibilitando furtos cibernéticos.

Desvendando o Grandoreiro

O Grandoreiro, um trojan bancário com base em Windows, surgiu no cenário cibernético em 2020, documentado pela ESET, e desde 2017 representa uma das principais ameaças aos falantes do idioma espanhol. 

Este malware opera de maneira notável, monitorando ativamente a janela em primeiro plano, buscando processos do navegador relacionados a atividades bancárias e estabelecendo comunicação com seus servidores de comando e controle quando há uma correspondência.

O diferencial do Grandoreiro é a necessidade de interação manual por parte dos invasores para carregar injeções específicas na web, indicando uma abordagem direcionada e prática. O malware utiliza táticas enganosas, exibindo janelas de pop-up falsas em busca de credenciais, simulando a entrada do mouse e teclado para facilitar a navegação remota, enviando feeds ao vivo da tela da vítima, bloqueando a visualização local para dificultar detecção e intervenção, além de registrar as teclas digitadas.

Os desenvolvedores do Grandoreiro destacam-se pela frequência com que lançam atualizações, adicionando novos recursos e aprimorando as capacidades do malware, evidenciando o uso contínuo do projeto por seus operadores. 

Um relatório da Zscaler em agosto de 2022 revelou uma campanha Grandoreiro direcionada a funcionários de empresas de alto valor na Espanha e no México, ressaltando sua natureza direcionada e estratégica.

Conclusão

Embora indivíduos tenham sido detidos em ações recentes, permanece incerto se desempenhavam um papel de liderança na operação ou se há riscos de o Grandoreiro ressurgir no futuro utilizando novas infraestruturas. Essa incerteza destaca a persistência e adaptabilidade dessa ameaça cibernética, reforçando a importância contínua da vigilância e inovação por parte da comunidade de segurança cibernética.

A ACSPro é Parceira da ManageEngine no Brasil e pode oferecer soluções de segurança cibernética e gerenciamento de TI para empresas brasileiras que buscam fortalecer sua soberania digital, também possuímos serviços de consultoria e implantação de soluções de segurança da informação da ManageEngine , ajudando as empresas a desenvolver estratégias personalizadas de segurança cibernética que se adaptem às suas necessidades específicas.

ACS Pro Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 2626-4653

[wptelegram-ajax-widget widget_width=”300″ widget_height=”200″]

PodCafé da TI – Podcast, Tecnologia e Cafeína.

[podcast_subscribe id=”10553″]