Grandoreiro: кто скрывается за банковским трояном, терроризирующим всю Латинскую Америку

В ходе совместной операции компании ESET и Федеральной полиции Бразилии были предприняты действия по пресечению деятельности ботнета Grandoreiro, в результате которой жертвы пострадали на сумму $3,9 млн.

По данным полиции, было исполнено 5 временных ордеров на арест и 13 ордеров на обыск и изъятие в штатах Сан-Паулу, Санта-Катарина, Пара, Гояс и Мату-Гроссу в Бразилии. Расследование началось после информации от одной из жертв банды, испанского банка Caixa Bank, который идентифицировал разработчиков и операторов вредоносного ПО в Бразилии.

В последней атаке Grandoreiro хакеры отправляли фишинговые электронные письма, замаскированные под повестки в суд или счета-фактуры, чтобы получить доступ к устройствам жертв. Вредоносное ПО Grandoreiro позволяет блокировать экран жертвы, регистрировать нажатия клавиш, имитировать действия мыши и клавиатуры, транслировать экран жертвы и выводить поддельные всплывающие окна.

ESET предоставила технический анализ, статистические данные, а также информацию о доменных именах и IP-адресах серверов управления и контроля (Command and Control, C2). Благодаря выявленному недостатку в сетевом протоколе Grandoreiro, исследователи ESET смогли получить информацию о жертвах атаки.

Системы ESET обработали десятки тысяч образцов Grandoreiro. Используемый с октября 2020 года алгоритм генерации доменов (Domain Generation Algorithm, DGA) создает один основной и несколько резервных доменов в день. Операторы Grandoreiro использовали облачные сервисы Azure и AWS для размещения своей сетевой инфраструктуры. Исследователи ESET предоставили данные, позволившие идентифицировать аккаунты, использованные для настройки серверов, что в итоге привело к аресту лиц, управляющих серверами.

Grandoreiro существует с 2017 года, целенаправленно атакуя банковские системы Латинской Америки, включая Бразилию, Мексику и с 2019 года – Испанию. С 2023 года наблюдается смещение фокуса атак на Мексику и Аргентину.

В феврале 2022 года операторы Grandoreiro добавили идентификатор версии в свои программы. Например, с февраля по июнь 2022 года в среднем каждые 4 дня появлялась новая версия. Исследования показали, что Grandoreiro не работает по модели «вредоносное ПО как услуга» MaaS (Malware-as-a-Service), а скорее управляется одной или несколькими тесно сотрудничающими группировками.

Исследователи ESET выявили, что C2-серверы Grandoreiro раскрывают информацию о жертвах. Данные, полученные от серверов, показывают, что большинство жертв использовали операционные системы Windows, наибольшее количество атак приходилось на Бразилию, Мексику и Испанию.

Благодаря долгосрочному отслеживанию и анализу деятельности Grandoreiro, ESET смогла внести значительный вклад в операцию по его пресечению. В компании продолжают внимательно следить за активностью других банковских троянов, нацеленных на Латинскую Америку, а также за возможным возобновлением деятельности Grandoreiro после операции правоохранительных органов.