A Polícia Federal deflagrou, nesta terça-feira, 30/1, a Operação Grandoreiro para investigar a atuação de um grupo criminoso responsável por fraudes bancárias eletrônicas, utilizando malware bancário com vítimas fora do Brasil. A estrutura criminosa é suspeita de movimentar por meio de fraude, desde 2019, ao menos 3,6 milhões de euros.
Policiais federais cumprem cinco mandados de prisão temporária e outros 13 mandados de busca e apreensão, nos estados de São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso.
Também estão sendo cumpridas ordens judiciais de apreensão e bloqueio de bens e valores com vistas à descapitalização da estrutura criminosa e com a finalidade recuperar os ativos.
Segundo o Caixa Bank, instituição financeira da Espanha, além do prejuízo causado, identificou-se que houve tentativas de fraude com a utilização do malware bancário brasileiro que chegaria a 110 milhões de euros em prejuízo.
As apurações tiveram início a partir de informações enviadas pelo Caixa Bank, que identificou que os programadores e operadores do malware bancário estariam no Brasil. Os investigados se valiam de servidores na nuvem para hospedar a infraestrutura utilizada nas campanhas do malware Grandoreiro. A utilização de programas de comando e controle permitia o acesso remoto dos computadores das vítimas, oportunidade em que eram realizados os furtos de valores de forma cibernética.
A infecção dos equipamentos das vítimas era realizada com o envio de e-mails contendo mensagens maliciosas (phishing) que induziam as vítimas a acreditarem que se tratava de informações oficiais como, por exemplo, intimações judiciais, cobranças de faturas vencidas, notas fiscais, dentre outros.
No momento em que as vítimas abriam o anexo ou clicavam no link responsável pelo download do arquivo malicioso, o programa era executado em segundo plano, oportunidade em que o computador da vítima ficava vulnerável aos criminosos.
Os valores foram direcionados para contas de integrantes do grupo criminoso que “emprestavam” indevidamente suas contas para movimentação dos valores ilícitos.
As ações contaram com o apoio da Organização Internacional de Polícia Criminal (Interpol) e com a cooperação internacional da Polícia Nacional da Espanha, que forneceram informações importantes para a identificação dos criminosos.
A investigação contou também com informações e apoio da força-tarefa Tentáculos, instituída para a repressão a fraudes bancárias eletrônicas e que envolve a cooperação entre?a Polícia Federal e as instituições bancárias.
Malware
Para a compreensão dos fatos, também foram relevantes informações obtidas em fontes abertas, como pesquisas realizadas por empresas de segurança cibernética, tais como a ESET, que forneceu dados cruciais para identificar as contas responsáveis por configurar e conectar-se aos servidores C&C.
O malware analisado permite:
- Bloquear as telas das vítimas;
- Registrar pressionamentos de teclas;
- Simular atividade do mouse e do teclado;
- Compartilhar a(s) tela(s) das vítimas;
- Exibir janelas pop-up falsas.
Estas funcionalidades do Grandoreiro não mudaram muito desde a última pesquisa da ESET sobre o grupo em 2020, mas tem passado por um desenvolvimento rápido e constante. Era comum encontrar novas variantes do código malicioso por semana; por exemplo, entre fevereiro de 2022 e junho de 2022, a ESET observou uma nova versão a cada quatro dias, em média.
“Os sistemas automatizados da ESET processaram dezenas de milhares de amostras do Grandoreiro. O algoritmo de geração de domínio (DGA) que o malware vem utilizando desde aproximadamente outubro de 2020 gera um domínio principal por dia, sendo a única forma pela qual o Grandoreiro pode estabelecer uma conexão com um servidor de comando e controle. Além da data, a DGA também aceita configurações adicionais para fazer campanhas mais dirigidas”, afirmou o pesquisador da ESET, Jakub Sou?ek, que coordenou a equipe que analisou o Grandoreiro e outros trojans bancários latino-americanos. “O Grandoreiro é semelhante a outros trojans bancários latino-americanos principalmente por sua funcionalidade principal evidente e por agrupar seus downloaders dentro dos instaladores MSI”, explicou.
A implementação do protocolo de rede do Grandoreiro permitiu à equipe de pesquisa da ESET dar uma olhada por trás da cortina e vislumbrar a vitimologia. Os servidores C&C do Grandoreiro fornecem informações sobre as vítimas conectadas no momento da solicitação inicial feita a cada vítima recém-conectada.
Ao examinar esses dados por mais de um ano, a ESET concluiu que 66% eram usuários do Windows 10, 13% usavam o Windows 7, o Windows 8 representava 12%, e 9% eram usuários do Windows 11. Dado que o Grandoreiro relata uma distribuição geográfica pouco confiável de suas vítimas, a telemetria da ESET foi usada como referência: a Espanha representa 65% de todas as vítimas, seguida pelo México com 14%, Brasil com 7% e Argentina com 5%; os 9% restantes das vítimas estão em outros países da América Latina. A ESET também observou que, em 2023, houve uma diminuição significativa da atividade do Grandoreiro na Espanha, compensada por um aumento de campanhas no México e Argentina.
O nome da Operação Grandoreiro está relacionado com o nome do malware bancário responsável por viabilizar a transferência de valores de forma ilícita para diversas contas de terceiros de forma cibernética.
