{"id":20124,"date":"2024-02-06T16:53:11","date_gmt":"2024-02-06T19:53:11","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=20124"},"modified":"2024-02-06T16:54:04","modified_gmt":"2024-02-06T19:54:04","slug":"trojan-grandoreiro","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/02\/basico\/trojan-grandoreiro\/","title":{"rendered":"Trojan Grandoreiro"},"content":{"rendered":"\n

Trojan banc\u00e1rio do Grandoreiro \u00e9 desmantelado<\/span><\/h1>\n

\u00a0<\/p>\n

Uma opera\u00e7\u00e3o policial brasileira levou \u00e0 pris\u00e3o de v\u00e1rios operadores brasileiros respons\u00e1veis \u200b\u200bpelo malware\u00a0<\/span>Grandoreiro\u00a0.<\/span><\/p>\n

\u00a0<\/p>\n

A Pol\u00edcia Federal do Brasil\u00a0<\/span>informou<\/span>\u00a0ter cumprido cinco mandados de pris\u00e3o tempor\u00e1ria e 13 mandados de busca e apreens\u00e3o nos estados de S\u00e3o Paulo, Santa Catarina, Par\u00e1, Goi\u00e1s e Mato Grosso.<\/span><\/p>\n

\u00a0<\/p>\n

A empresa eslovaca de seguran\u00e7a cibern\u00e9tica ESET, que forneceu assist\u00eancia adicional no esfor\u00e7o, relatou ter descoberto uma falha de design no protocolo de rede de Grandoreiro que a ajudou a identificar os padr\u00f5es de vitimologia.<\/span><\/p>\n

\u00a0<\/p>\n

Grandoreiro<\/span>\u00a0\u00e9 um dos muitos trojans banc\u00e1rios latino-americanos, como Javali, Melcoz, Casabeniero, Mekotio e Vadokrist, visando principalmente pa\u00edses como Espanha, M\u00e9xico, Brasil e Argentina.\u00a0\u00c9 conhecido por estar ativo desde 2017.<\/span><\/p>\n

\u00a0<\/p>\n

No final de outubro de 2023, a Proofpoint\u00a0<\/span>revelou<\/span>\u00a0detalhes de uma campanha de phishing que distribuiu uma vers\u00e3o atualizada do malware para alvos no M\u00e9xico e na Espanha.<\/span><\/p>\n

\u00a0<\/p>\n

O trojan banc\u00e1rio tem capacidade para roubar dados por meio de keyloggers e capturas de tela, bem como desviar informa\u00e7\u00f5es de login banc\u00e1rio de sobreposi\u00e7\u00f5es quando uma v\u00edtima infectada visita sites banc\u00e1rios pr\u00e9-determinados visados \u200b\u200bpelos atores da amea\u00e7a.\u00a0Ele tamb\u00e9m pode exibir janelas pop-up falsas e bloquear a tela da v\u00edtima.<\/span><\/p>\n

\u00a0<\/p>\n

As cadeias de ataque normalmente utilizam iscas de phishing contendo documentos falsos ou URLs maliciosos que, quando abertos ou clicados, levam \u00e0 implanta\u00e7\u00e3o de malware, que ent\u00e3o estabelece contato com um servidor de comando e controle (C&C) para controlar remotamente a m\u00e1quina de maneira manual.\u00a0<\/span><\/p>\n

\u00a0<\/p>\n

\u201cGrandoreiro monitora periodicamente a janela em primeiro plano para encontrar uma que perten\u00e7a a um processo do navegador da web\u201d, informou<\/span>\u00a0a ESET .<\/span><\/p>\n

\u00a0<\/p>\n

\"Trojan<\/p>\n

\u00a0<\/p>\n

\u201cQuando tal janela \u00e9 encontrada e seu nome corresponde a qualquer string de uma lista codificada de strings relacionadas a bancos, ent\u00e3o o malware inicia a comunica\u00e7\u00e3o com seu servidor C&C, enviando solicita\u00e7\u00f5es pelo menos uma vez por segundo at\u00e9 ser encerrado.\u201d<\/span><\/p>\n

\u00a0<\/p>\n

Os agentes de amea\u00e7as por tr\u00e1s do malware tamb\u00e9m s\u00e3o conhecidos por empregar um algoritmo de gera\u00e7\u00e3o de dom\u00ednio (\u00a0<\/span>DGA<\/span>\u00a0) desde cerca de outubro de 2020 para identificar dinamicamente um dom\u00ednio de destino para o tr\u00e1fego C&C, tornando mais dif\u00edcil bloquear, rastrear ou assumir o controle da infraestrutura.<\/span><\/p>\n

\u00a0<\/p>\n

A maioria dos endere\u00e7os IP para os quais esses dom\u00ednios resolvem s\u00e3o fornecidos principalmente pela Amazon Web Services (AWS) e pelo Microsoft Azure, com a vida \u00fatil dos endere\u00e7os IP C&C variando entre 1 dia e 425 dias.\u00a0Em m\u00e9dia, h\u00e1 13 endere\u00e7os IP ativos e tr\u00eas novos endere\u00e7os IP C&C por dia, respectivamente.<\/span><\/p>\n

\u00a0<\/p>\n

A ESET afirmou ainda que a implementa\u00e7\u00e3o falha do protocolo de rede RealThinClient (RTC) para C&C em Grandoreiro permitiu obter informa\u00e7\u00f5es sobre o n\u00famero de v\u00edtimas que est\u00e3o ligadas ao servidor C&C, determinando em m\u00e9dia 551 v\u00edtimas \u00fanicas num dia, que est\u00e3o principalmente espalhadas por Brasil, M\u00e9xico e Espanha.<\/span><\/p>\n

\u00a0<\/p>\n

Uma investiga\u00e7\u00e3o mais aprofundada descobriu que um n\u00famero m\u00e9dio de 114 novas v\u00edtimas \u00fanicas conectam-se aos servidores C&C todos os dias.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cA opera\u00e7\u00e3o de disrup\u00e7\u00e3o liderada pela Pol\u00edcia Federal do Brasil teve como alvo indiv\u00edduos que se acredita estarem no alto escal\u00e3o da hierarquia da opera\u00e7\u00e3o Grandoreiro\u201d, conforme relato da ESET.<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2024\/01\/brazilian-feds-dismantle-grandoreiro.html<\/a>\u00a0 (Autor: Reda\u00e7\u00e3o Hacker News)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Trojan banc\u00e1rio do Grandoreiro \u00e9 desmantelado \u00a0 Uma opera\u00e7\u00e3o policial brasileira levou \u00e0 pris\u00e3o de v\u00e1rios operadores brasileiros respons\u00e1veis \u200b\u200bpelo malware\u00a0Grandoreiro\u00a0. \u00a0 A Pol\u00edcia Federal do Brasil\u00a0informou\u00a0ter cumprido cinco mandados de pris\u00e3o tempor\u00e1ria e 13 mandados de busca e apreens\u00e3o nos estados de S\u00e3o Paulo, Santa Catarina, Par\u00e1, Goi\u00e1s e Mato Grosso. \u00a0 A empresa […]<\/p>\n","protected":false},"author":2,"featured_media":20125,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-20124","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20124","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=20124"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20124\/revisions"}],"predecessor-version":[{"id":20129,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20124\/revisions\/20129"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/20125"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=20124"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=20124"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=20124"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}