Grandoreiro es uno de los muchos troyanos bancarios latinoamericanos. Ha estado activo desde al menos 2017, y el equipo de investigación de ESET lo ha estado siguiendo de cerca desde entonces. Grandoreiro apunta a Brasil, México, España y, desde 2023, Argentina. Es por eso que ESET colaboró con la Policía Federal de Brasil en un intento de desmantelar la botnet Grandoreiro (software malicioso que puede ser controlado por un atacante de manera remota) proporcionando análisis técnicos, información estadística y nombres de dominio y direcciones IP de servidores de comando y control (C&C) conocidos.
Esta operación de disrupción estaba dirigida a personas que se cree que ocupan un lugar alto en la jerarquía operativa de Grandoreiro. La investigación de la Policía Federal de Brasil condujo a la identificación y múltiples detenciones de los individuos que controlaban la botnet. El equipo de investigación de ESET proporcionó datos cruciales para identificar las cuentas responsables de configurar y conectarse a los servidores de Grandoreiro C&C.
El operador de Grandoreiro todavía tiene que interactuar manualmente con la máquina comprometida para poder robar el dinero de la víctima. El malware analizado permite las siguientes acciones:
- Bloquear las pantallas de las víctimas
- Registrar de pulsaciones de teclas
- Simular actividad del mouse y el teclado
- Compartir la(s) pantalla(s) de las víctimas
- Mostrar ventanas emergentes falsas
Estas funcionalidades de Grandoreiro no han cambiado mucho desde la última investigación de ESET sobre el grupo en 2020, pero sí ha experimentado un desarrollo rápido y constante. Era común encontrar nuevas variantes del código malicioso por semana; por ejemplo, entre febrero de 2022 y junio de 2022 se observó desde ESET una nueva versión cada cuatro días en promedio.
“Los sistemas automatizados de ESET han procesado decenas de miles de muestras de Grandoreiro. El algoritmo de generación de dominio (DGA) que el malware ha utilizado desde aproximadamente octubre de 2020 produce un dominio principal por día, y es la única forma en que Grandoreiro puede establecer una conexión a un servidor de comando y control. Además de la fecha, la DGA también acepta configuraciones estáticas adicionales para hacer campañas más dirigidas”, dice el investigador de ESET Jakub Souček, quien coordinó el equipo que analizó Grandoreiro y otros troyanos bancarios latinoamericanos. “Grandoreiro es similar a otros troyanos bancarios latinoamericanos principalmente por su funcionalidad principal obvia y por agrupar sus descargadores dentro de los instaladores MSI“.
La implementación de Grandoreiro de su protocolo de red permitió al equipo de investigación de ESET echar un vistazo detrás de la cortina y vislumbrar la victimología. Los servidores C&C de Grandoreiro brindan información sobre las víctimas conectadas en el momento de la solicitud inicial realizada a cada víctima recién conectada.
Al examinar estos datos durante más de un año, desde ESET se llegó a la conclusión de que el 66% eran usuarios de Windows 10, el 13% usaban Windows 7, Windows 8 representaba el 12% y el 9% eran usuarios de Windows 11. Dado que Grandoreiro reporta una distribución geográfica poco confiable de sus víctimas, se utilizó de referencia la telemetría de ESET: España representa el 65% de todas las víctimas, seguida de México con el 14%, Brasil con el 7% y Argentina con el 5%; el 9% restante de las víctimas se encuentra en otros países de América Latina. También desde ESET se observó que en 2023, hubo una disminución significativa de la actividad de Grandoreiro en España, compensada con un aumento de campañas en México y Argentina.
