
La Police fédérale du Brésil et des chercheurs en cybersécurité ont perturbé l’opération de malware bancaire Grandoreiro, qui ciblait les pays hispanophones avec des fraudes financières depuis 2017.
L’opération a été soutenue par ESET, Interpol, la Police nationale espagnole et la Banque Caixa, qui ont toutes fourni des données critiques permettant d’identifier et d’arrêter les personnes contrôlant l’infrastructure du logiciel malveillant.
La police fédérale brésilienne a annoncé cinq arrestations et treize perquisitions et saisies à Sao Paulo, Santa Catarina, Para, Goias et Mato Grosso.
« Ce mardi 30 janvier, la Police fédérale a lancé l’Opération Grandoreiro pour enquêter sur les activités d’un groupe criminel responsable de fraude bancaire électronique, utilisant des logiciels malveillants bancaires avec des victimes en dehors du Brésil », a déclaré la police brésilienne dans un communiqué de presse traduit automatiquement.
« La structure criminelle est soupçonnée d’avoir déplacé au moins 3,6 millions d’euros par fraude depuis 2019. »
Selon les dossiers de la Banque Caixa, les opérateurs de logiciels malveillants sont liés à une fraude qui a causé environ 120 000 000 losses de pertes.
Le malware Grandoreiro
Grandoreiro est un cheval de Troie bancaire Windows documenté pour la première fois par ESET en 2020, qui a été l’une des principales menaces pour les hispanophones depuis le début de son fonctionnement en 2017.
Le logiciel malveillant surveille activement la fenêtre de premier plan, à la recherche de processus de navigateur Web liés aux activités bancaires, et s’il y a correspondance, il initie une communication avec ses serveurs de commande et de contrôle (C2).
Les attaquants doivent interagir manuellement avec le logiciel malveillant pour effectuer un vol financier, comme charger les bonnes injections Web, indiquant une approche ciblée et pratique.
Le logiciel malveillant peut servir aux victimes de fausses fenêtres contextuelles qui hameçonnent les informations d’identification, simuler la saisie de la souris et du clavier pour faciliter la navigation à distance, envoyer un flux en direct de l’écran de la victime, bloquer la visualisation locale pour entraver la détection et l’intervention, et enregistrer les frappes au clavier.
Les développeurs de Grandoreiro ont publié des mises à jour fréquentes pour ajouter de nouvelles fonctionnalités et améliorer les capacités du logiciel malveillant, ce qui indique l’utilisation continue du projet par ses opérateurs.
En août 2022, un rapport de Zscaler a présenté une campagne Grandoreiro ciblant les employés d’entreprises à forte valeur ajoutée en Espagne et au Mexique.
Opérations de suivi et victimes
ESET pourrait tracer les serveurs de Grandoreiro malgré l’utilisation par le logiciel malveillant d’un algorithme de génération de domaine (DGA) grâce à une combinaison de techniques de suivi et d’analyse.
Les chercheurs ont analysé le mécanisme DGA, qui génère un nouveau domaine chaque jour, et ont découvert qu’il utilise la date actuelle et la configuration codée en dur, ce qui leur permet de prédire les futurs domaines.
« ESET a extrait un total de 105 idga_ différents des échantillons Grandoreiro que nous connaissons », explique ESET.
« 79 de ces configurations ont généré au moins une fois un domaine qui s’est résolu en une adresse IP de serveur C&C active au cours de notre suivi. »
L’entreprise de cybersécurité a observé des modèles dans lesquels les domaines générés par différentes configurations DGA se résolvaient vers les mêmes adresses IP, indiquant que plusieurs victimes étaient connectées au même serveur C2.

En utilisant cette piste, l’infrastructure de Grandoreiro a été regroupée et ESET a pu obtenir des informations sur la victimologie et le volume de l’opération.
La plupart des victimes se trouvent en Espagne, au Mexique et au Brésil, tandis que le système d’exploitation le plus touché est Windows 10, suivi de 7, 8 et 11.

ESET rapporte avoir constaté quotidiennement 551 connexions uniques à l’infrastructure de Grandoreiro, dont 114 « nouvelles victimes quotidiennes. »
Si nous extrapolons cela à la durée d’un an, Grandoreiro a potentiellement infecté plus de 41 000 nouveaux ordinateurs.
À l’heure actuelle, il n’est pas clair si les personnes arrêtées ont joué un rôle de premier plan dans l’opération ou s’il existe un risque que Grandoreiro revienne à l’avenir en utilisant de nouvelles infrastructures.
Pourtant, la dernière perturbation a complètement interrompu les opérations des logiciels malveillants pour le moment.