Spoločnosť ESET spolupracovala s brazílskou federálnou políciou pri medzinárodnej operácii namierenej proti botnetu Grandoreiro.
ESET prispel poskytnutím technickej analýzy, štatistických informácií a známych názvov domén riadiacich (C&C) serverov a IP adries. Vďaka chybe v sieťovom protokole Grandoreiro sa výskumníkom spoločnosti ESET podarilo odhaliť, na aké obete sa kyberzločinci zameriavajú.
- Spoločnosť ESET spolupracovala s brazílskou federálnou políciou pri medzinárodnej operácii namierenej proti botnetu Grandoreiro.
- ESET prispel k operácii poskytnutím technickej analýzy, štatistických informácií a známych názvov domén riadiacich (C&C) serverov a IP adries.
- Operácia bola zameraná na osoby, o ktorých sa predpokladá, že sú v hierarchii botnetu Grandoreiro vysoko postavené.
- Ďalšie vyšetrovanie, ktoré vykonala brazílska federálna polícia, viedlo k identifikácii a zatknutiu osôb ovládajúcich botnet.
- Botnet Grandoreiro je aktívny minimálne od roku 2017.
- Grandoreiro sa zameriava na Brazíliu, Mexiko, Španielsko a Argentínu.
- Španielska polícia uviedla, že v priebehu dvoch rokov zadržala 133 osôb napojených na Grandoreiro. Operácia španielskej polície je priamo spojená s brazílskou, v rámci ktorej zohral ESET kľúčovú úlohu.
- Grandoreiro dokáže blokovať obrazovku obete, zaznamenávať stlačenia klávesnice, simulovať činnosť myši a klávesnice, zdieľať obrazovku obete a zobrazovať falošné vyskakovacie okná.
Medzinárodná operácia bola zameraná na osoby, o ktorých sa predpokladá, že sú vysoko v hierarchii botnetu Grandoreiro. Vyšetrovanie brazílskej federálnej polície viedlo k viacerým zatknutiam. Výskumníci spoločnosti ESET poskytli údaje, ktoré boli kľúčové pre identifikáciu účtov zodpovedných za nastavenie a pripojenie k riadiacim serverom Grandoreiro.
Grandoreiro je jedným z mnohých latinskoamerických bankových trojanov. Aktívny je minimálne od roku 2017 a výskumníci spoločnosti ESET ho odvtedy pozorne sledujú. Botnet Grandoreiro sa zameriava na Brazíliu, Mexiko, Španielsko a od roku 2023 aj na Argentínu.
Z funkčného hľadiska sa botnet Grandoreiro od poslednej analýzy spoločnosti ESET z roku 2020 veľmi nezmenil. Napriek tomu však prechádza rýchlym a neustálym vývojom. Výskumníci spoločnosti ESET zaznamenali aj niekoľko nových vylepšení na týždennej báze. Napríklad v období od februára 2022 do júna 2022 priniesli kyberzločinci novú verziu škodlivého kódu v priemere každé štyri dni.
Útočník musí aj naďalej manuálne komunikovať s infikovaným zariadením, aby mohol ukradnúť peniaze obete. Škodlivý softvér má nasledovné schopnosti:
- blokovanie obrazoviek obetí
- zaznamenávanie stlačení klávesnice
- simulovanie činnosti myši a klávesnice
- zdieľanie obrazovky (obrazoviek) obetí
- zobrazovanie falošných vyskakovacích okien
„Automatizované systémy spoločnosti ESET spracovali desiatky tisíc vzoriek Grandoreiro malvéru. Algoritmus generovania domén (DGA), ktorý škodlivý softvér používa približne od októbra 2020, vytvára jednu hlavnú doménu denne a je to jediný spôsob, akým je Grandoreiro schopný nadviazať spojenie s riadiacim serverom. Okrem aktuálneho dátumu prijíma algoritmus aj obrovskú statickú konfiguráciu,“ hovorí výskumník spoločnosti ESET Jakub Souček, ktorý koordinoval tím, ktorý analyzoval Grandoreiro a ďalšie latinskoamerické bankové trójske kone. „Grandoreiro sa podobá na iné latinskoamerické bankové trojany najmä pre svoju základnú funkcionalitu a spájanie svojich downloaderov v rámci MSI inštalátorov.“
Implementácia sieťového protokolu Grandoreiro umožnila výskumníkom spoločnosti ESET nahliadnuť za oponu a získať prehľad o viktimológii. Riadiace servery botnetu Grandoreiro prezrádzajú informácie o pripojených obetiach v čase prvej požiadavky, ktorá bola zaslaná každej novo pripojenej obeti. Skúmaním týchto údajov za viac ako rok výskumníci spoločnosti ESET zistili, že 66 % obetí tvorili používatelia operačného systému Windows 10, 13 % používalo systém Windows 7, 12 % používalo Windows 8 a 9 % tvorili používatelia systému Windows 11. Telemetria spoločnosti ESET sa pozrela aj na geografické rozloženie obetí: Španielsko predstavuje 65 % všetkých obetí, nasleduje Mexiko so 14 %, Brazília so 7 % a Argentína s 5 %. Zvyšných 9 % obetí sa nachádza v ostatných krajinách Latinskej Ameriky. Zároveň ESET v roku 2023 zaznamenal výrazný pokles aktivity Grandoreiro v Španielsku, ktorý bol kompenzovaný zvýšeným počtom kampaní v Mexiku a Argentíne.
Španielska polícia uviedla, že v priebehu dvoch rokov zadržala 133 osôb napojených na Grandoreiro. Operácia španielskej polície je priamo spojená s brazílskou, v rámci ktorej zohral ESET kľúčovú úlohu. Španielska polícia odhaduje, že len v Španielsku prišli obete o viac ako 5 miliónov eur. Podľa španielskej Caixa Bank dosahujú škody spôsobené latinskoamerickými bankovými trójskymi koňmi 110 miliónov EUR.
O technických podrobnostiach sa dočítate v našom špeciálnom blogu. Najnovšie odhalenia výskumníkov spoločnosti ESET nájdete na sieti X (niekdajší Twitter) ESET Research.
