BRInfor especialista em Cibersegurança para Governo
27/12/2023BRInfor completa 12 anos de parceria com a Bitdefender
19/02/2024A ESET colaborou com a Polícia Federal do Brasil na desarticulação da botnet Grandoreiro, fornecendo análises técnicas, informações estatísticas e nomes de domínio e endereços IP de servidores de comando e controle (C&C) conhecidos. Graças a uma falha de design no protocolo de rede do Grandoreiro, os pesquisadores da ESET também foram capazes de observar sua vitimologia.
Os sistemas automatizados da ESET processaram dezenas de milhares de amostras do Grandoreiro. O Algoritmo de Geração de Domínio (DGA) que o malware tem usado desde outubro de 2020 produz um domínio primário e, opcionalmente, vários domínios à prova de falhas, por dia. O DGA é a única maneira pela qual o Grandoreiro sabe como se reportar a um servidor de C&C. Além da data atual, o DGA também aceita configurações estáticas – observamos 105 configurações desse tipo no momento em que este artigo foi escrito.
Os operadores do Grandoreiro se aproveitaram de provedores de nuvem, como Azure e AWS, para hospedar sua infraestrutura de rede. Os pesquisadores da ESET forneceram dados cruciais para identificar as contas responsáveis pela configuração desses servidores. Uma investigação mais aprofundada da Polícia Federal brasileira levou à identificação e à prisão das pessoas que controlavam esses servidores.
Nesta publicação, analisamos como obtivemos os dados para ajudar a polícia a executar essa operação de interrupção.
Histórico
O Grandoreiro é um dos diversos trojans bancários latino-americanos. Ele está ativo desde pelo menos 2017 e os pesquisadores da ESET o têm acompanhado de perto desde então. O Grandoreiro tem como alvo o Brasil e o México e, desde 2019, também a Espanha (veja a Figura 1). Embora a Espanha tenha sido o país mais visado entre 2020 e 2022, em 2023 observamos uma clara mudança de foco para o México e a Argentina, sendo este último um novo país para o Grandoreiro.
Em termos funcionais, o Grandoreiro não mudou muito desde nossa última publicação em 2020. Apresentamos uma breve visão geral do malware nesta seção e nos aprofundamos nas poucas alterações, principalmente na nova lógica DGA, logo abaixo.
Quando um trojan bancário compromete um computador com sucesso, ele normalmente emite uma solicitação HTTP GET para um servidor remoto, enviando algumas informações básicas sobre o computador comprometido. Embora as versões anteriores do Grandoreiro incluíssem essa função, os desenvolvedores acabaram decidindo removê-la.
O Grandoreiro monitora periodicamente a janela em primeiro plano para encontrar uma que pertença a um processo de navegador da Web. Quando essa janela é encontrada e seu nome corresponde a qualquer cadeia de caracteres em uma lista criptografada de cadeias de caracteres relacionadas a bancos, então, e somente então, o malware inicia a comunicação com seu servidor C&C, enviando solicitações pelo menos uma vez por segundo.
O operador precisa interagir manualmente com a máquina comprometida para roubar o dinheiro da vítima. O malware permite:
- Bloquear a tela da vítima;
- Registrar as teclas digitadas;
- Simular a atividade do mouse e do teclado;
- Compartilhar a tela da vítima;
- Exibir janelas pop-up falsas.
O Grandoreiro está passando por um desenvolvimento rápido e constante. Às vezes, vemos várias novas compilações por semana, o que torna difícil manter o controle. Para demonstrar isso, em fevereiro de 2022, os operadores do Grandoreiro adicionaram um identificador de versão aos binários. Em média, houve uma nova versão a cada quatro dias entre fevereiro de 2022 e junho de 2022. No intervalo de um mês entre 24 de maio de 2022 e 22 de junho de 2022, continuamos vendo novas amostras com tempos de compilação de PE progressivos, mas sem o identificador de versão. Em 27 de junho de 2022, o identificador de versão foi alterado para V37 e não o vimos mudar desde então, o que nos leva a concluir que esse recurso foi removido.
Os trojans bancários latino-americanos têm muitos pontos em comum. O Grandoreiro é semelhante a outros deles principalmente na funcionalidade central óbvia e no agrupamento de seus downloaders em instaladores MSI. No passado, observamos alguns casos em que seus downloaders eram compartilhados com o Mekotio e o Vadokrist, embora não nos últimos dois anos. O trojan bancário Grandoreiro se distinguiu das outras famílias principalmente por seu mecanismo exclusivo de preenchimento binário, que incha maciçamente o executável final (descrito em nossa publicação em 2020). Com o tempo, os operadores do Grandoreiro também adicionaram essa técnica antianálise aos seus downloaders. Para nossa surpresa, no terceiro trimestre de 2023, esse recurso desapareceu completamente dos binários do trojan bancário e do downloader, e não o observamos desde então.
Desde fevereiro de 2022, estamos monitorando uma segunda variante do Grandoreiro que difere significativamente da principal. Nós a vimos, em pequenas campanhas, em março, maio e junho de 2022. Com base no fato de que a grande maioria dos domínios em seus servidores C&C não são resolvidos, que seus principais recursos mudam com bastante frequência e que seu protocolo de rede não funciona adequadamente, acreditamos firmemente que se trata de um trabalho em andamento, portanto, vamos nos concentrar na variante principal nesta postagem do blog.
Fonte: ESET Research