Detecção de Malware Bancário Grandoreiro

Malware bancário é há muito tempo uma mina de ouro para os adversários. Uma das ferramentas eficientes nessas campanhas de distribuição de malware que visam o setor bancário é um trojan bancário de sobreposição remota Grandoreiro. O trojan foi detectado pela primeira vez em 2016 (embora alguns pesquisadores afirmem que o malware surgiu pela primeira vez em 2017), sendo utilizado contra alvos na América Latina. Na campanha mais recente, o Grandoreiro foi identificado se espalhando por meio de e-mails de phishing com tema de impostos, usando o mesmo vetor de ataque das campanhas anteriores. Os hackers por trás do Grandoreiro miraram em vítimas no Brasil, Espanha e México.

Detectar o Malware Bancário Grandoreiro

Para ajudar as organizações a proteger melhor sua infraestrutura, nossos atentos desenvolvedores do Threat Bounty Furkan Celik and Nattatorn Chuensangarun recentemente lançaram regras Sigma dedicadas que permitem uma rápida detecção do malware Grandoreiro. Usuários registrados podem baixar essas regras na plataforma Detection as Code da SOC Prime:

Detectar Persistência do Trojan Bancário Grandoreiro via registry_event)

Possíveis Explorações do Malware Bancário Grandoreiro na Temporada de Impostos (via file_event)

Se você é novo na plataforma, navegue por uma vasta coleção de regras Sigma com contexto de ameaça relevante, referências CTI e MITRE ATT&CK, descrições CVE, e obtenha atualizações sobre tendências de caça a ameaças. Não é necessário registro!

Um repositório exaustivo de conteúdo de detecção compatível com todas as soluções líderes de SIEM, EDR e XDR para fortalecer a base de monitoramento de segurança está acessível mediante registro na Plataforma SOC Prime para acessar o Threat Detection Marketplace. Pressione o botão Ver Detecções para acessar a coleção completa de regras Sigma dedicadas à detecção do malware Grandoreiro. A SOC Prime oferece aos caçadores de ameaças qualificados a oportunidade de compartilhar suas regras Sigma e YARA com uma vasta comunidade de profissionais de segurança, obter suporte e reconhecimento de outros profissionais, e transformar isso em uma valiosa fonte de receita.

Ver Detecções Participe do Threat Bounty

Campanha de Malware Grandoreiro

Grandoreiro é um trojan escrito em Delphi projetado para permitir que seus operadores assumam o controle de dispositivos-alvo. O objetivo principal é iniciar uma transferência de dinheiro fraudulenta da conta do alvo. Uma vez no sistema, o Grandoreiro é usado para captura de teclas, roubo de dados e monitoramento das operações da vítima em sites ou aplicativos de bancos na internet.

The Trustwave SpiderLabs detalhou a última campanha lançada em meados da primavera de 2022. De acordo com os dados da pesquisa, adversários miram clientes de bancos, entregando o malware por meio de campanhas de spam – o vetor de ataque não mudou desde as primeiras distribuições documentadas desta ameaça de malware. A vítima recebe uma isca de phishing – um email em português, com os adversários por trás fingindo se passar pelo legítimo Serviço de Administração Fiscal. Um falso memorando apresenta um URL que busca um arquivo PDF armado. Se o alvo cair na isca e abrir o PDF malicioso que afirma vir do DocuSign, há chances de que eles acabem baixando um arquivo ZIP contendo um instalador MSI. O instalador baixa uma carga final, atingindo os alvos com IPs somente nos países latinos mencionados.

A análise do Grandoreiro mostra que os adversários usam o trojan a cada ano na América Latina, visando capitalizar na temporada de impostos.

Líderes de segurança podem melhorar a conformidade, a gestão de riscos e as capacidades de monitoramento e detecção com SOC Prime para garantir que seus sistemas não sejam alvos fáceis para hackers.