La Policía Federal de Brasil detiene a operadores de malware Grandoreiro en operación
La Policía Federal de Brasil ha llevado a cabo una operación para detener a varios operadores brasileños a cargo del malware Grandoreiro. ESET, una firma de ciberseguridad eslovaca, brindó asistencia adicional en el esfuerzo y descubrió una falla en el protocolo de red de Grandoreiro para identificar los patrones de las víctimas.
Grandoreiro es uno de los muchos troyanos bancarios latinoamericanos que están activos desde 2017 y apuntan países como España, México, Brasil y Argentina. En octubre de 2023, se revelaron detalles de una campaña de phishing que distribuyó una versión actualizada del malware a objetivos en México y España.
Grandoreiro tiene la capacidad de robar datos a través de keyloggers y capturas de pantalla, así como extraer información de inicio de sesión bancaria. Los actores de amenazas detrás del malware emplean un algoritmo de generación de dominio (DGA) para identificar dinámicamente un dominio de destino para el tráfico C&C, lo que dificulta su bloqueo, seguimiento o toma de control de la infraestructura. Las direcciones IP C&C resueltas son proporcionadas principalmente por Amazon Web Services y Microsoft Azure.
La implementación defectuosa del protocolo de red RealThinClient (RTC) por parte de Grandoreiro permitió obtener información sobre el número de víctimas conectadas al servidor C&C. La operación de interrupción liderada por la Policía Federal de Brasil apuntó a personas que se cree que tienen un alto nivel en la jerarquía de operación de Grandoreiro.
