La Policía Federal de Brasil, junto con especialistas en ciberseguridad, ha logrado desarticular las operaciones del malware bancario Grandoreiro, responsable de cometer fraudes financieros en países de habla hispana desde 2017.
La operación fue posible gracias al apoyo de Interpol, la Policía Nacional de España, Caixa Bank y otros colaboradores en el ámbito de la seguridad informática. Estas entidades aportaron datos esenciales que facilitaron la identificación y captura de los individuos a cargo de la infraestructura del malware.
La Policía Federal de Brasil ha informado sobre la detención de cinco individuos y la ejecución de trece operaciones de búsqueda y confiscación en varias regiones, incluyendo Sao Paulo, Santa Catarina, Pará, Goiás y Mato Grosso.
"El 30 de enero, la Policía Federal inició la Operación Grandoreiro para investigar a una organización criminal involucrada en fraude bancario electrónico, empleando malware para atacar a víctimas fuera de Brasil", declaró la institución en un comunicado traducido automáticamente.
Según las estimaciones, este grupo criminal ha manejado más de 3,6 millones de euros a través de actividades fraudulentas desde 2019. Conforme a los informes de Caixa Bank, los operadores del malware están implicados en estafas que han ocasionado pérdidas cercanas a los 120 millones de dólares.
Te podrá interesar: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
Grandoreiro, un troyano bancario para Windows identificado en 2020, ha sido una amenaza significativa para los usuarios de habla hispana desde su aparición en 2017. Este malware vigila constantemente la ventana activa en primer plano, buscando procesos de navegadores web vinculados a actividades bancarias. Al encontrar una coincidencia, inicia la comunicación con sus servidores de mando y control (C2).
Para ejecutar robos financieros, los atacantes deben interactuar manualmente con Grandoreiro, como al cargar inyecciones web específicas. Esto demuestra un enfoque meticuloso y dirigido.
Grandoreiro puede presentar a las víctimas falsas ventanas emergentes solicitando credenciales, simular movimientos de mouse y teclado para facilitar la navegación remota, transmitir en vivo la pantalla de la víctima, bloquear la visualización local para evitar detección e intervención, y registrar las pulsaciones de teclas.
Sus desarrolladores han lanzado actualizaciones periódicas para añadir nuevas funcionalidades y mejorar las capacidades del malware, evidenciando su uso continuado por parte de los operadores. En agosto de 2022, un informe de Zscaler destacó una campaña de Grandoreiro dirigida a empleados de empresas de alto valor en España y México.
Te podrá interesar leer: Análisis de Malware con Wazuh
Investigadores en ciberseguridad han logrado rastrear los servidores de Grandoreiro a pesar de que el malware utiliza un algoritmo de generación de dominio (DGA). Esto se logró mediante una combinación de técnicas de seguimiento y análisis.
Los especialistas examinaron el mecanismo DGA, que crea un nuevo dominio diariamente, y descubrieron que este usa la fecha actual junto con una configuración predeterminada, permitiendo así predecir futuros dominios.
Los investigadores revelaron que "un total de 105 identificadores de DGA diferentes han sido extraídos de las muestras de Grandoreiro", y que "79 de estas configuraciones generaron al menos una vez un dominio que condujo a una dirección IP activa de un servidor C&C durante nuestro seguimiento".
Fue observado que los dominios generados por diferentes configuraciones de DGA a menudo conducían a las mismas direcciones IP, sugiriendo que múltiples víctimas estaban conectadas al mismo servidor C2. Con esta información, se pudo mapear la infraestructura de Grandoreiro y obtener detalles sobre la victimología y el alcance de la operación.
La mayoría de las víctimas se ubicaron en España, México y Brasil. En cuanto a sistemas operativos, Windows 10 fue el más afectado, seguido por las versiones 7, 8 y 11.
Se reportaron 551 conexiones únicas a la infraestructura de Grandoreiro cada día, de las cuales 114 correspondían a "nuevas víctimas diarias". Extrapolando estos datos a un año, Grandoreiro podría haber infectado más de 41.000 nuevos ordenadores.
Actualmente, no se ha confirmado si los individuos arrestados tenían roles de liderazgo en la operación, ni si existe el riesgo de que Grandoreiro resurja en el futuro con una nueva infraestructura. Sin embargo, la reciente interrupción ha paralizado temporalmente las actividades del malware.
También te podrá interesar: FBI Desmantela la Operación Ransomware BlackCat
El desmantelamiento de la operación Grandoreiro marca un hito en la lucha contra el malware bancario. Sin embargo, no es el fin de la amenaza cibernética. La cooperación internacional y la concienciación de los usuarios son clave para mantenerse un paso adelante de los ciberdelincuentes. En un mundo cada vez más conectado, la seguridad en línea es una responsabilidad compartida.