Quase quatro meses após uma operação coordenada pela Polícia Federal do Brasil e a Polícia Nacional da Espanha, o trojan bancário brasileiro Grandoreiro está de volta. O malware, que teve suas atividades interrompidas em janeiro de 2024, retornou com uma campanha global de phishing que agora atinge mais de 1.500 bancos em mais de 60 países, segundo a equipe X-Force da IBM.
Um Retorno Surpreendente
Em janeiro, uma operação conjunta de diversas agências, incluindo a Interpol e a empresa de cibersegurança ESET, resultou na derrubada dos servidores do grupo responsável pelo Grandoreiro. Além disso, foram realizadas prisões e buscas em todo o Brasil. Apesar dessas medidas, os cibercriminosos conseguiram retomar suas atividades, agora com uma escala ainda maior.
Evolução Técnica do Malware
O Grandoreiro não apenas voltou, mas também evoluiu. A nova versão do trojan apresenta melhorias significativas em seu código, tornando-o mais eficaz e difícil de detectar. Entre as atualizações estão:
Algoritmo de Descriptografia de Strings: Agora usando uma combinação de AES CBC e um decodificador personalizado.
Algoritmo de Geração de Domínio (DGA): Atualizado para incluir múltiplas "sementes" que separam as comunicações de comando e controle das tarefas do operador.
Integração com Microsoft Outlook: Utiliza o cliente local do Outlook para enviar spam e phishing, desativando alertas de segurança.
Mecanismo de Persistência: Baseado na criação de chaves no registro do Windows, garantindo que o malware se mantenha ativo mesmo após reinicializações.
Expansão de Comandos: Inclui controle remoto, upload/download de arquivos, keylogging e manipulação do navegador.
Estratégia de Ataque
A campanha de phishing do Grandoreiro utiliza e-mails que se passam por entidades governamentais, principalmente de administração tributária e serviços fiscais. Esses e-mails, escritos no idioma local das vítimas, contêm links que direcionam para o download do malware. Uma vez instalado, o trojan coleta dados básicos da vítima, verifica se o sistema não está em um ambiente sandbox e então baixa o trojan bancário principal.
Conclusão
Apesar das ações policiais, o Grandoreiro demonstrou uma resiliência notável. Sua capacidade de adaptação e evolução técnica representa um desafio contínuo para as instituições financeiras e seus clientes.
Como revendedores autorizados de soluções de firewall de próxima geração (NGFW), a International IT oferece produtos que incluem inspeção profunda de pacotes, prevenção de intrusões e filtragem avançada. Estas ferramentas são essenciais para proteger contra acessos não autorizados e ataques a APIs, proporcionando uma camada adicional de segurança para organizações que enfrentam ameaças digitais crescentes.
Baixe agora e-book "Proteção cibernética em uma era de avanço tecnológico: Entenda a importância do Firewall na Rede" para uma visão aprofundada sobre segurança cibernética.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
