# Grandoreiro Banking Campaign ## Visão Geral **Grandoreiro Banking Campaign** e uma campanha de fraude bancaria de longo prazo operada por grupos cibercriminosos brasileiros, utilizando o trojan bancario [[s0531-grandoreiro|Grandoreiro]]. A campanha foca primariamente em instituicoes financeiras brasileiras e latino-americanas, com expansao global significativa a partir de 2024, atingindo mais de 1.700 bancos e 276 carteiras de criptomoedas em 45 paises e territorios. A campanha utiliza phishing massivo com temas de PIX, boletos bancarios, notas fiscais e comúnicados governamentais para distribuir o malware, que permite controle remoto de sessoes bancarias e fraude financeira em tempo real. O [[s0531-grandoreiro|Grandoreiro]] e parte da umbrela **Tetrade** de trojans bancarios brasileiros, ao lado de [[mekotio|Mekotio]] e [[casbaneiro|Casbaneiro]]. **Motivacao:** Financeira - fraude bancaria direta, roubo de credenciais e transferencias PIX fraudulentas, roubo de criptomoedas. **Relevância LATAM/Brasil:** Esta e uma das campanhas de maior impacto direto no Brasil. O [[s0531-grandoreiro|Grandoreiro]] e responsavel por 5% de todas as deteccoes globais de trojans bancarios em 2024, com Brasil liderando a regiao com 56 mil bloqueios de janeiro a outubro de 2024. O Brasil tornou-se o epicentro de ataques de trojans bancarios na América Latina, com aumento de 87% nas infeccoes entre julho de 2023 e julho de 2024. ```mermaid gantt title Grandoreiro Banking Campaign - Evolução dateFormat YYYY-MM section Fases Foco Brasil inicial :2017-01, 2020-01 Expansao LATAM e Europa :2020-01, 2022-01 Modelo MaaS adotado :2022-01, 2024-01 Prisao de operadores (Interpol) :crit, 2024-01, 2024-02 Retomada e expansao global :2024-03, 2026-03 ``` ## Attack Flow ```mermaid graph TB A["🎯 Phishing Massivo<br/>PIX, boleto, nota fiscal, CFE, SAT"] --> B["📎 Link malicioso - ZIP<br/>Paises-alvo: MX, CO, CL, AR, ES, ZA"] B --> C["🔧 Loader MSI/EXE<br/>Criado dia anterior ao envio"] C --> D["🔍 Verificação da Vitima<br/>Pais, SO, sandbox, AV check"] D --> E["💻 Grandoreiro Payload<br/>DGA de 12 dominios C2/dia"] E --> F["🏦 Overlay Bancario<br/>Captura de credenciais em tempo real"] E --> G["📋 Clipboard Hijack<br/>Troca de enderecos de cripto"] E --> H["📧 Spreader Outlook<br/>Coleta emails - phishing lateral"] F --> I["💸 Fraude Bancaria<br/>PIX, TED, transferencias"] classDef initial fill:#3a1a1a,color:#ff9999,stroke:#e74c3c classDef payload fill:#2a1a4a,color:#ccaaff,stroke:#8e44ad classDef impact fill:#1a3a1a,color:#aaffaa,stroke:#27ae60 class A,B,C initial class D,E payload class F,G,H,I impact ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2016-2017 | Primeiras variantes do Grandoreiro identificadas no Brasil | | 2020 | Expansao para Espanha, Portugal e América Latina; inicio do targeting de 900 bancos em 40 paises | | 2021 | Primeira operação de disrupcao - prende operadores no Brasil (parcial) | | 2022 | Adocao do modelo MaaS (Malware-as-a-Service); fragmentacao do codebase | | Ján 2024 | Policia Federal brasileira, com apoio da Interpol e ESET, prende 5 operadores-chave em 5 estados | | Fev 2024 | Aumento significativo de spam após o anuncio das prisoes; campanha CFDI mexicana | | Mar 2024 | Campanha retoma operações com novos operadores e variantes atualizadas | | Mai 2024 | IBM X-Force identifica campanhas globais atingindo 1.500+ bancos em 60+ paises | | Jun 2024 | Campanhas de smishing (SMS phishing) intensificam-se no Brasil | | Out 2024 | Kaspersky documenta variante "Grandoreiro Light" focada no Mexico; 1.700 bancos e 276 wallets cripto alvo | | Ján-Out 2024 | Kaspersky bloqueia 150.000+ infeccoes, 30.000+ usuarios afetados globalmente | | 2025 | Brasil registra 87% de aumento em ataques de trojans bancarios (Jul 2023 - Jul 2024); Grandoreiro lidera com 16,83% das infeccoes LATAM | | Mar 2025 | Forcepoint identifica novas campanhas impersonando autoridades fiscais de Argentina, Mexico, Espanha | | Jun 2025 | Brasil confirma epicentro de trojans bancarios LATAM com 56 mil bloqueios de Grandoreiro | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Emails com temas de PIX, boletos, notas fiscais e comúnicados do governo (SAT, CFE, AFIP, SARS) | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vitima executa anexo ZIP contendo loader MSI/EXE com icone de PDF | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts para download e execução do payload principal | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | File bloating (inflacao de tamanho), criptografia CTS, CAPTCHA anti-sandbox | | Defense Evasion | Virtualization/Sandbox Evasion | [[t1497-virtualization-evasion\|T1497]] | Checagens ambientais para detectar análise automatizada; verifica pais-alvo antes de infectar | | Command and Control | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | DGA (Domain Generation Algorithm) com 3 algoritmos distintos gerando 12+ dominios C2/dia | | Command and Control | Dynamic Resolution | [[t1568-002-domain-generation-algorithms\|T1568]] | DGA gerando dominios C2 dinâmicamente para evasão de blocklists | | Collection | Input Capture | [[t1056-input-capture\|T1056]] | Captura de credenciais via overlays falsos de bancos sobre interface real | | Collection | Clipboard Data | [[t1115-clipboard-data\|T1115]] | Substituicao de enderecos de carteiras de criptomoedas no clipboard | | Lateral Movement | Internal Spearphishing | [[t1534-internal-spearphishing\|T1534]] | Outlook spreader coleta emails de contatos e envia phishing a partir da caixa da vitima | ## Malware e Ferramentas - [[s0531-grandoreiro|Grandoreiro]] - trojan bancario principal; overlay attacks, keylogging, captura de tela, controle remoto, spreader Outlook, clipboard hijacking, DGA com 3 algoritmos, criptografia CTS - **Grandoreiro Light** - versao reduzida pos-prisao, focada em ~30 bancos mexicanos; codebase legado - **Ferramentas de distribuição:** Emails de phishing, smishing (SMS), paginas de phishing imitando portais governamentais (SAT, CFE, AFIP, SARS) - **Subvariante atualizada (2024+):** Novo string decryption, DGA atualizado, suporte a Microsoft Outlook spreader integrado ## Alvos e Impacto **Setores alvejados:** - [[financial]] - bancos, fintechs, corretoras de criptomoedas; motivacao: fraude direta via sessao bancaria **Paises com vitimas confirmadas:** - Brasil - epicentro da campanha; 56 mil bloqueios (Ján-Out 2024); maior número de vitimas - Mexico - 51 mil bloqueios (Ján-Out 2024); principal alvo fora do Brasil; Grandoreiro Light focado aqui - Espanha - 11 mil bloqueios; prejuizos mínimos estimados em EUR 3,5 milhões; tentativas frustradas de EUR 110 milhões - Argentina - 6,4 mil bloqueios; alvo de campanhas imitando AFIP - Peru - 4,4 mil bloqueios - Colombia, Chile - alvos de campanhas de phishing com dominios .co e .cl - 60+ paises - expansao global em 2024-2025; Asia e Africa adicionadas em 2024 **Impacto documentado:** - 150.000+ infeccoes bloqueadas de janeiro a outubro de 2024 (Kaspersky) - 30.000+ usuarios afetados globalmente no mesmo período - 1.700 bancos e 276 carteiras de criptomoedas alvejadas pelas versoes mais recentes - 5% de todas as deteccoes globais de trojans bancarios - 16,83% das infeccoes de trojans bancarios em toda a América Latina ## Indicadores de Comprometimento > [!ioc]- IOCs - Grandoreiro Banking Campaign (TLP:GREEN) > **Domain Generation Algorithm (DGA):** > - 3 algoritmos distintos gerando 12+ dominios C2 por dia > - Dominios tipicamente em TLDs `.com`, `.net`, `.org` com TTL curto > - Pattern: strings pseudo-aleatorias de 8-12 caracteres > > **Artefatos no host:** > - Instaladores MSI/EXE com icone de PDF em diretorios temporarios > - File bloating: binarios inflados artificialmente (>100MB) para evasão de sandbox > - Arquivos ZIP contendo loader MSI distribuidos via email > - Overlay de jánelas sobre interface real do navegador (captura de credenciais) > - Modificacao de clipboard: substituicao de enderecos de carteiras cripto > > **Comportamento de rede:** > - Resolução dinâmica de dominios C2 via DGA (rotacao a cada ciclo) > - Comúnicação HTTP/HTTPS com servidores C2 para exfiltração de credenciais > - Outlook spreader: envio de phishing a partir da caixa da vitima para contatos > > **Indicadores de email (phishing):** > - Temas: PIX, boletos, notas fiscais, comúnicados do governo (SAT, CFE, AFIP, SARS) > - Anexos: ZIP contendo MSI/EXE com icone de PDF > - Dominios de phishing imitando portais governamentais brasileiros e mexicanos > > **Checagens anti-análise:** > - Verifica pais-alvo antes de infectar (geofencing por IP) > - Detecta ambientes de virtualizacao e sandbox > - Usa CAPTCHA em paginas de download para evitar crawlers automatizados > > **Fontes:** [Kaspersky Securelist](https://securelist.com/grandoreiro-banking-trojan/114257/) · [IBM X-Force](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed) · [ESET](https://www.eset.com/blog/en/business-topics/threat-landscape/grandoreiro-takedown-eset/) ## Resposta e Mitigação **Acoes de resposta documentadas:** - Ján 2024: Policia Federal do Brasil, com Interpol e ESET, prende 5 operadores e apreende bens em 5 estados - Mar 2024: Operadores restantes retomam operações com atualizacoes no malware - Mai 2024: IBM X-Force pública análise global da campanha - Out 2024: Kaspersky documenta novas variantes com TTPs avancados e Grandoreiro Light **Recomendacoes de mitigação:** - Desconfiar de emails com temas de PIX, boletos ou comúnicados do governo com anexos ou links - Implementar autenticação de dois fatores em todas as contas bancarias - Monitorar processos que realizam overlay de jánelas sobre navegadores - Bloquear execução de MSI/EXE de diretorios temporarios - Educar usuarios brasileiros sobre fraudes de engenharia social baseadas em PIX - Monitorar clipboard por modificacoes suspeitas em enderecos de criptomoedas - Bloquear execução de arquivos com icone de PDF que sao realmente EXE/MSI **Atores:** [[s0531-grandoreiro|Grandoreiro Operators]] **TTPs chave:** [[t1566-phishing|T1566 - Phishing]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files]] · [[t1071-001-web-protocols|T1071.001 - Web Protocols]] · [[t1568-002-domain-generation-algorithms|T1568 - DGA]] **Malware:** [[s0531-grandoreiro|Grandoreiro]] **Setores impactados:** [[financial]] **Campanhas relacionadas:** [[horabot-latam-campaign|Horabot LATAM Campaign]] · [[volt-typhoon-infrastructure-campaign|Volt Typhoon Infrastructure Campaign]] **Geografias:** Brasil · Mexico · Espanha · Portugal · Argentina · 60+ paises --- *Fonte: [Kaspersky Securelist - Grandoreiro Banking Trojan Overview](https://securelist.com/grandoreiro-banking-trojan/114257/) (Out 2024)* *Fonte: [IBM X-Force - Grandoreiro Unleashed](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed) (Mai 2024)* *Fonte: [The Hacker News - Grandoreiro Resurfaces](https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html) (Mai 2024)* *Fonte: [ESET - Grandoreiro Takedown Participation](https://www.eset.com/blog/en/business-topics/threat-landscape/grandoreiro-takedown-eset/) (Nov 2024)* *Fonte: [INTERPOL - Disrupting a Grandoreiro malware operation](https://www.interpol.int/en/News-and-Events/News/2024/Disrupting-a-Grandoreiro-malware-operation) (Mar 2024)* *Fonte: [TIInside - Brasil epicentro de trojans bancarios na LATAM](https://tiinside.com.br/en/09/06/2025/brasil-se-torna-epicentro-de-ataques-de-trojans-bancarios-na-america-latina/) (Jun 2025)* *Fonte: [SecurityWeek - Fresh Grandoreiro Campaigns Target LATAM/Europe](https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/) (Mar 2025)*