Trend Micro e Interpol unem forças contra o trojan bancário Grandoreiro
A organização internacional prendeu, no Brasil, cinco integrantes da quadrilha que utilizava phishing para roubar dados e limpar contas bancárias.
A Trend Micro colaborou com a Interpol na operação que resultou na prisão de cinco programadores e operadores brasileiros do trojan bancário Grandoreiro.
A Unidade de Crimes Cibernéticos da organização internacional entrou em ação após acionamento das polícias federais brasileira e espanhola.
Também foram cumpridas ordens judiciais de apreensão e bloqueio de bens e valores com o objetivo de descapitalizar a estrutura criminosa e recuperar os ativos.
O Grandoreiro apareceu pela primeira vez em 2018 e é introduzido por meio de e-mails de phishing contendo anexos ou links maliciosos, que simulam organizações legítimas, como bancos ou instituições financeiras, para induzir os usuários a baixar ou executar o malware.
Uma vez instalado no sistema, o Grandoreiro funciona como um típico trojan bancário, monitorando ativamente a janela em primeiro plano e processos do navegador da web relacionados a atividades bancárias com o objetivo de roubar credenciais.
Quando há uma correspondência, ele inicia a comunicação com seus servidores de Comando e Controle (C&C).
Com o controle total, os criminosos limpam as contas bancárias das vítimas, desviando os recursos roubados para uma rede de “laranjas” que lava o dinheiro antes de transferi-lo para o Brasil.
Calcula-se que o grupo tenha desviado mais de 3,5 milhões de euros.
No entanto, segundo o banco espanhol Caixa Bank, o prejuízo poderia ter chegado a 110 milhões de euros se a quadrilha não tivesse sido desbaratada.
A instituição financeira foi responsável por identificar que os operadores do trojan bancário estavam no Brasil.
“O Grandoreiro tem aprimorado suas técnicas e por isso manteve-se ativo e indetectável por longo tempo. As instituições financeiras precisam, da mesma forma, investir na área de inteligência de ameaças a fim de combater o crime digital de maneira mais efetiva e eficiente”, ressalta Rayanne Nunes, coordenadora de Tecnologia do time de São Paulo da Trend Micro Brasil.
Durante a investigação, a Trend Micro descobriu que o Grandoreiro utilizava algoritmos de geração de domínio (DGAs) para as suas comunicações C&C.
Para obter mais informações, a Trend levantou todos os domínios possíveis a partir da lista de strings e subdomínios encontrados em várias amostras.
Com isso, foram gerados mais de 4 mil DGAs, fornecendo informações valiosas para localização dos servidores C&C utilizados pela quadrilha.
Dados de inteligência de ameaças de janeiro a abril de 2023 revelam que a Argentina teve o maior número de detecções relacionadas a Grandoreiro, com 1.118 registros, seguida pela Turquia com 322 detecções e México com 265 casos.
