Eine brasilianische Strafverfolgungsaktion hat zur Verhaftung mehrerer brasilianischer Betreiber der Grandoreiro-Malware geführt. Die Bundespolizei Brasiliens gab bekannt, dass sie fünf vorübergehende Haftbefehle und 13 Durchsuchungs- und Beschlagnahmebefehle in den Bundesstaaten São Paulo, Santa Catarina, Pará, Goiás und Mato Grosso vollstreckt hat. Die slowakische Cybersicherheitsfirma ESET, die bei der Aktion zusätzliche Unterstützung geleistet hat, sagt, dass sie einen Designfehler im Netzwerkprotokoll von Grandoreiro entdeckt hat, der ihnen geholfen hat, die Opfermuster zu identifizieren.
Grandoreiro ist einer der vielen lateinamerikanischen Bankentrojaner wie Javali, Melcoz, Casabeniero, Mekotio und Vadokrist, die hauptsächlich Länder wie Spanien, Mexiko, Brasilien und Argentinien ins Visier nehmen. Er ist seit 2017 aktiv. Im Oktober 2023 enthüllte Proofpoint Details einer Phishing-Kampagne, bei der eine aktualisierte Version der Malware an Ziele in Mexiko und Spanien verteilt wurde.
Der Bankentrojaner kann Daten durch Tastaturprotokolle und Screenshots stehlen und Bankzugangsdaten von Overlays abfangen, wenn ein infiziertes Opfer vorab festgelegte Bankseiten besucht, die von den Angreifern ins Visier genommen werden. Er kann auch gefälschte Pop-up-Fenster anzeigen und den Bildschirm des Opfers blockieren. Die Angriffsketten nutzen in der Regel Phishing-Köder mit Ablenkungsdokumenten oder bösartigen URLs, die beim Öffnen oder Anklicken zur Bereitstellung von Malware führen, die dann Kontakt mit einem Kommando- und Kontrollserver (C&C) zur Fernsteuerung des betroffenen Geräts aufnimmt.
„Grandoreiro überwacht periodisch das Fenster im Vordergrund, um eines zu finden, das zu einem Webbrowser-Prozess gehört“, so ESET. „Wenn ein solches Fenster gefunden wird und sein Name mit einem beliebigen String aus einer fest codierten Liste bankenbezogener Strings übereinstimmt, initiiert die Malware die Kommunikation mit ihrem C&C-Server und sendet Anfragen mindestens einmal pro Sekunde, bis sie beendet wird.“
Die Bedrohungsakteure hinter der Malware setzen seit rund Oktober 2020 auch einen Domain-Generierungsalgorithmus (DGA) ein, um dynamisch eine Ziel-Domain für den C&C-Verkehr zu identifizieren, was es schwieriger macht, die Infrastruktur zu blockieren, zu verfolgen oder zu übernehmen. Die meisten IP-Adressen, zu denen diese Domains aufgelöst werden, werden hauptsächlich von Amazon Web Services (AWS) und Microsoft Azure bereitgestellt, wobei die Lebensdauer der C&C-IP-Adressen zwischen 1 Tag und 425 Tagen liegt. Im Durchschnitt gibt es jeweils 13 aktive und drei neue C&C-IP-Adressen pro Tag.
ESET stellte auch fest, dass die fehlerhafte Implementierung des RealThinClient (RTC)-Netzwerkprotokolls von Grandoreiro es ermöglichte, Informationen über die Anzahl der Opfer zu erhalten, die mit dem C&C-Server verbunden sind. Durchschnittlich wurden 551 eindeutige Opfer pro Tag ermittelt, die hauptsächlich in Brasilien, Mexiko und Spanien verteilt sind. Weitere Untersuchungen haben ergeben, dass durchschnittlich 114 neue eindeutige Opfer jeden Tag eine Verbindung zu den C&C-Servern herstellen. „Die Störungsaktion der Bundespolizei Brasiliens richtete sich gegen Personen, von denen angenommen wird, dass sie sich hochrangig in der Grandoreiro-Operation befinden“, so ESET.