La Policía Federal de Brasil y expertos en ciberseguridad han desmantelado la operación de malware bancario Grandoreiro, que ha estado dirigida a países de habla hispana con fraudes financieros desde 2017.
La operación contó con el respaldo de ESET, Interpol, la Policía Nacional de España y Caixa Bank, proporcionando datos críticos que llevaron a identificar y detener a las personas que controlaban la infraestructura del malware.
La policía federal de Brasil anunció cinco detenciones y trece acciones de registro y decomiso en Sao Paulo, Santa Catarina, Para, Goias y Mato Grosso.
“Este martes 30 de enero, la Policía Federal lanzó la Operación Grandoreiro para investigar las actividades de un grupo criminal responsable de fraude bancario electrónico, utilizando malware bancario con víctimas fuera de Brasil”, dijo la policía brasileña en un comunicado de prensa traducido por máquina.
“Se sospecha que la estructura criminal ha movido al menos 3.6 millones de euros a través de fraudes desde 2019.”
Según los registros de Caixa Bank, los operadores de malware están vinculados a fraudes que han causado aproximadamente $120,000,000 en pérdidas.
El malware Grandoreiro
Grandoreiro es un troyano bancario para Windows documentado por primera vez por ESET en 2020, que ha sido una de las principales amenazas para los hispanohablantes desde el inicio de su operación en 2017.
El malware monitorea activamente la ventana principal, buscando procesos de navegadores web relacionados con actividades bancarias. Si hay coincidencia, inicia la comunicación con sus servidores de comando y control (C2).
Los atacantes deben interactuar manualmente con el malware para llevar a cabo el robo financiero, como cargar las inyecciones web correctas, lo que indica un enfoque dirigido y práctico.
El malware puede mostrar a las víctimas ventanas emergentes falsas que obtienen credenciales, simular la entrada de ratón y teclado para ayudar en la navegación remota, enviar transmisiones en vivo de la pantalla de la víctima, bloquear la visualización local para dificultar la detección e intervención, y registrar pulsaciones de teclas.
Los desarrolladores de Grandoreiro lanzaron actualizaciones frecuentes para agregar nuevas funciones y mejorar las capacidades del malware, lo que indica el uso continuo del proyecto por parte de sus operadores.
En agosto de 2022, un informe de Zscaler presentó una campaña de Grandoreiro dirigida a empleados de alto valor en empresas en España y México.
Rastreando operaciones y víctimas
ESET pudo rastrear los servidores de Grandoreiro a pesar del uso de un Algoritmo de Generación de Dominio (DGA) mediante una combinación de técnicas de seguimiento y análisis.
Los investigadores analizaron el mecanismo DGA, que genera un nuevo dominio todos los días, y encontraron que utiliza la fecha actual y una configuración codificada, lo que les permitió predecir futuros dominios.
“ESET ha extraído un total de 105 dga_ids diferentes de las muestras de Grandoreiro conocidas por nosotros”, explica ESET. “79 de estas configuraciones generaron al menos una vez un dominio que resolvió a una dirección IP de servidor C&C activo durante el curso de nuestro seguimiento.”
La firma de ciberseguridad observó patrones en los que los dominios generados por diferentes configuraciones DGA resolvían a las mismas direcciones IP, lo que indicaba múltiples víctimas conectadas al mismo servidor C2.
Utilizando esta pista, la infraestructura de Grandoreiro fue agrupada, y ESET pudo obtener información sobre la victimología y el volumen de operación.
La mayoría de las víctimas se encuentran en España, México y Brasil, mientras que el sistema operativo más afectado es Windows 10, seguido por 7, 8 y 11.
ESET informa de 551 conexiones únicas diarias a la infraestructura de Grandoreiro, con 114 siendo “nuevas víctimas diarias”.
Si extrapolamos esto a lo largo de un año, Grandoreiro podría haber infectado más de 41,000 computadoras nuevas.
En este momento, no está claro si las personas detenidas desempeñaban un papel principal en la operación o si hay riesgo de que Grandoreiro regrese en el futuro utilizando una nueva infraestructura.
Sin embargo, la última interrupción ha detenido completamente las operaciones del malware por ahora.