Een Braziliaanse wetshandhavingsoperatie heeft geleid tot de arrestatie van verschillende Braziliaanse operators die verantwoordelijk zijn voor de Grandoreiro malware.
De federale politie van Brazilië zegt vijf tijdelijke arrestatiebevelen en dertien huiszoekings- en inbeslagnemingsbevelen te hebben uitgevaardigd in de staten São Paulo, Santa Catarina, Pará, Goiás en Mato Grosso.
Het Slowaakse cyberbeveiligingsbedrijf ESET, dat extra hulp bood bij deze inspanning, zei dat het een ontwerpfout in het netwerkprotocol van Grandoreiro aan het licht bracht, waardoor het de slachtofferpatronen kon identificeren.
Grandoreiro is een van de vele Latijns-Amerikaanse banktrojans zoals Javali, Melcoz, Casabeniero, Mekotio en Vadokrist, die zich voornamelijk richten op landen als Spanje, Mexico, Brazilië en Argentinië. Het is bekend dat het actief is sinds 2017.
Eind oktober 2023 onthulde Proofpoint details van een phishing-campagne waarbij een bijgewerkte versie van de malware werd verspreid naar doelen in Mexico en Spanje.
De banktrojan heeft de mogelijkheid om zowel gegevens te stelen via keyloggers en schermafbeeldingen als om inloggegevens van banken over te hevelen uit overlays wanneer een geïnfecteerd slachtoffer vooraf bepaalde banksites bezoekt die het doelwit zijn van de bedreigingsactoren. Het kan ook valse pop-upvensters weergeven en het scherm van het slachtoffer blokkeren.
Aanvalsketens maken doorgaans gebruik van phishing-lokmiddelen met lokdocumenten of kwaadaardige URL’s die, wanneer ze worden geopend of aangeklikt, leiden tot de inzet van malware, die vervolgens contact maakt met een command-and-control (C&C)-server om de machine handmatig op afstand te besturen .
“Grandoreiro controleert periodiek het voorgrondvenster om er een te vinden die bij een webbrowserproces hoort”, aldus ESET.
“Wanneer zo’n venster wordt gevonden en de naam ervan overeenkomt met een willekeurige string uit een hardgecodeerde lijst met bankgerelateerde strings, dan en alleen dan initieert de malware de communicatie met zijn C&C-server, waarbij hij minstens één keer per seconde verzoeken verzendt totdat deze wordt beëindigd.”
Het is ook bekend dat de bedreigingsactoren achter de malware sinds oktober 2020 een domeingeneratie-algoritme (DGA) gebruiken om op dynamische wijze een bestemmingsdomein voor C&C-verkeer te identificeren, waardoor het moeilijker wordt om de infrastructuur te blokkeren, volgen of over te nemen.
Het merendeel van de IP-adressen waar deze domeinen naar streven, wordt voornamelijk geleverd door Amazon Web Services (AWS) en Microsoft Azure, waarbij de levensduur van de C&C IP-adressen varieert van 1 dag tot 425 dagen. Gemiddeld zijn er respectievelijk 13 actieve en drie nieuwe C&C IP-adressen per dag.
ESET zei ook dat Grandoreiro’s gebrekkige implementatie van zijn RealThinClient (RTC) netwerkprotocol voor C&C het mogelijk maakte om informatie te krijgen over het aantal slachtoffers dat verbonden is met de C&C-server, wat gemiddeld 551 unieke slachtoffers per dag is, voornamelijk verspreid over Brazilië. , Mexico en Spanje.
Uit verder onderzoek is gebleken dat dagelijks gemiddeld 114 nieuwe, unieke slachtoffers verbinding maken met de C&C-servers.
“De verstoringsoperatie onder leiding van de federale politie van Brazilië was gericht op personen waarvan wordt aangenomen dat ze hoog in de hiërarchie van de Grandoreiro-operatie staan”, aldus ESET.
