# Grandoreiro Global Expansion 2024 > [!danger] Trojan bancario brasileiro expande para 45 paises - 1.700 bancos visados > Em 2024, o [[s0531-grandoreiro|Grandoreiro]] - o maior trojan bancario brasileiro - expandiu globalmente após tentativa de disrupcao pelo FBI e Interpol em janeiro de 2024. Apesar da operação policial que prendeu cinco operadores no Brasil, o grupo retomou atividades semanas depois com versoes menores e mais furtivas do malware, visando agora mais de 1.700 bancos e 276 carteiras de criptomoedas em 45 paises. ## Visão Geral A campanha **Grandoreiro Global Expansion 2024** marca a resposta operacional do grupo [[s0531-grandoreiro|Grandoreiro]] a uma disrupcao sem precedentes: em 28 de janeiro de 2024, o FBI e a Interpol, em conjunto com a Policia Federal Brasileira, executaram uma operação que prendeu cinco lideres do grupo e derrubou parte da infraestrutura. O resultado esperado seria o fim do grupo - o que nao aconteceu. Semanas após a operação, pesquisadores da ESET identificaram versoes mais compactas e furtivas do Grandoreiro em circulacao, com o grupo mantendo operações divididas entre diferentes subgrupos que aparentemente operam licencas do malware como **MaaS (Malware-as-a-Service)**. A expansao geografica - que já era observada desde 2022, com campanhas no Mexico e Espanha - acelerou: o malware passou a visar **1.700 bancos em 45 paises**, incluindo Africa do Sul, e carteiras de **276 criptomoedas**. Técnicamente, a expansao 2024 introduziu mecanismos mais sofisticados de **geofencing por IP** para garantir que o payload sejá entregue apenas a vitimas nos paises-alvo, e aprimorou o uso de **DoH (DNS over HTTPS)** via dns.google para o algoritmo de geracao de dominios (DGA), tornando o trafego de C2 indistinguivel de consultas DNS legitimas. O binario principal permanece inflado artificialmente para **400MB** com padding binario, dificultando análise e upload para sandboxes. Para o Brasil, o impacto imediato e alto: com 56.000 bloqueios apenas de janeiro a outubro de 2024 e aumento de 87% nas infeccoes, o Grandoreiro permanece a principal ameaça de malware financeiro do pais. ## Attack Flow - Grandoreiro Global Expansion ```mermaid graph TB A["🎯 Phishing Fiscal<br/>SAT/CFE/Receita Federal falsos"] --> B["🌐 Geofencing por IP<br/>Payload apenas para alvos válidos"] B --> C["⬇ Loader Delphi<br/>Download ZIP 9.2MB via HTTP"] C --> D["🔍 Perfil da Vítima<br/>AV, carteiras cripto, OS"] D --> E["📡 C2 com DGA<br/>DoH via dns.google"] E --> F["🔧 EXE Inflado 400MB<br/>Binary padding + hooks de API"] F --> G["💸 Overlay Bancário<br/>Keylog + PIX hijacking"] G --> H["💀 Fraude em Tempo Real<br/>Controle remoto de sessão"] classDef phish fill:#3a2a1a,color:#ffcc99,stroke:#e67e22 classDef evade fill:#1a2a3a,color:#99ccff,stroke:#2980b9 classDef impact fill:#1a3a1a,color:#99ff99,stroke:#27ae60 class A,B phish class C,D,E,F evade class G,H impact ``` ## Visão Geral O **Grandoreiro Global Expansion 2024** marca a transformação do [[s0531-grandoreiro|Grandoreiro]] de um trojan bancário regional brasileiro para uma ameaça financeira global de alcance massivo. A campanha representa a expansão mais agressiva do grupo até hoje, visando **1.700 bancos e 276 carteiras de criptomoedas em mais de 45 países**, com foco primário em [[latam|Brasil]], [[latam|México]], [[Espanha]] e [[latam|Argentina]]. Em janeiro de 2024, uma operação coordenada pela [[Interpol]] com autoridades brasileiras resultou em prisões e derrubada de infraestrutura do grupo. No entanto, o [[s0531-grandoreiro|Grandoreiro]] ressurgiu em março de 2024 com variantes aprimoradas, demonstrando a resiliência do modelo de operação como **Malware-as-a-Service (MaaS)** dentro do ecossistema criminoso brasileiro conhecido como [[Tetrade]]. De janeiro a outubro de 2024, mais de **150.000 infecções** atingiram 30.000+ usuários, com concentração em México, Brasil, Espanha e Argentina. ## Cadeia de Infecção A cadeia de ataque segue um padrão consistente com variações por campanha geográfica: 1. **Acesso Inicial** - E-mails de phishing com links para sites falsos ou ZIPs maliciosos, disfarçados de notificações fiscais (SAT/CFE no México, Receita Federal no Brasil, AFIP na Argentina, SARS na África do Sul). Campanhas usam **geofencing por IP** para entregar payloads apenas para alvos geográficos válidos, dificultando análise em sandboxes. 2. **Execução do Loader** - Downloader baseado em **Delphi** baixa ZIP com payload (~9.2MB) via HTTP, extrai e executa. Verifica ambiente (sandbox/VM, VMware), perfila vítima (IP, OS, AV instalado, carteiras de criptomoedas presentes), envia dados ao C2. 3. **Download C2 com DGA** - Usa **Domain Generation Algorithm (DGA)** com 3-4 seeds baseadas em data, chave mágica específica do usuário e resolução via **DNS-over-HTTPS** (dns.google) para mascarar consultas DNS. Portas derivadas de dígitos do IP da vítima. Comúnicação via HTTP/RealThinClient com mensagens criptografadas. 4. **Persistência e Elevação** - Adiciona chaves de registro (`Run`) e atalhos `.LNK` na pasta Startup. Contorna UAC via handler `.MSC` ou `ShellExecuteW('runas')`. 5. **Ativação do Payload** - EXE inflado (até 400MB via **binary padding** com arquivos BMP) desofusca, desabilita defesas, instala hooks de API, inicia roubo e exfiltração de dados. ## Capacidades Técnicas O [[s0531-grandoreiro|Grandoreiro]] pós-2024 incorpora capacidades avançadas: - **Keylogging** - Captura todas as teclas digitadas, incluindo senhas bancárias - **Clipboard Hijacking** - Substitui endereços de carteiras de criptomoedas copiados - **Web Injects / Overlays** - Sobreposições falsas em sites bancários legítimos para roubo de credenciais - **Browser Hijacking** - Intercepta sessões bancárias no navegador ([[t1185-browser-session-hijacking|T1185]]) - **Roubo de Credenciais do Outlook** - Acessa credenciais salvas no cliente de e-mail para propagação - **Evasão de Segurança** - Desabilita Diebold Warsaw GAS Tecnologia (proteção bancária brasileira), Trusteer Rapport e outras soluções anti-fraude - **Perfil de Vítima** - Detecta softwares bancários, carteiras de cripto, AV instalado antes de ativar payload - **Certificados Roubados** - Usa certificados legítimos roubados (ex.: ASUSTEK) para bypass de defesas - **CAPTCHA Solving** - Algumas variantes exigem resolução de CAPTCHA para dificultar análise automatizada ## Táticas e Técnicas MITRE ATT&CK | Tática | Técnica | ID | |--------|---------|-----| | Initial Access | Spearphishing Link | [[t1566-phishing\|T1566]] | | Execution | Native API | T1106 | | Execution | Visual Basic Script | T1059.005 | | Persistence | Registry Run Keys / Startup Folder | [[t1547-boot-logon-autostart-execution\|T1547.001]] | | Privilege Escalation | Bypass UAC | T1548.002 | | Defense Evasion | Binary Padding | T1027.001 | | Defense Evasion | Domain Generation Algorithms | [[t1568-002-domain-generation-algorithms\|T1568.002]] | | Defense Evasion | Masquerading | T1036 | | Defense Evasion | Sandbox Evasion | T1497 | | Credential Access | Keylogging | [[t1056-input-capture\|T1056.001]] | | Credential Access | Credentials from Web Browsers | T1555.003 | | Credential Access | Clipboard Data | T1115 | | Discovery | Security Software Discovery | T1063 | | Discovery | System Information Discovery | T1082 | | C2 | Web Protocols | T1071.001 | | C2 | Encrypted Channel | T1573.002 | | Exfiltration | Exfiltration Over C2 Channel | T1041 | | Impact | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | ## Infraestrutura C2 A infraestrutura do [[s0531-grandoreiro|Grandoreiro]] em 2024 utiliza múltiplas camadas para resiliência: - **DGA Multi-Seed** - Gera domínios diários a partir de strings predefinidas + chave mágica/tempo; resolve via DoH para mascarar tráfego DNS - **IPs Brasil-Based** - Usa servidores hospedados no Brasil e subdomínios Contabo - **Serviços Google** - Abusa de serviços legítimos para comunicação C2 - **Modelo MaaS** - C2s separados para módulos/operadores; modelo de afiliados permite múltiplas campanhas simultâneas ## Contexto LATAM O Grandoreiro é parte do [[Tetrade]], ecossistema de quatro famílias de trojans bancários brasileiros (junto com Javali, Melcoz/Amavaldo e Vadokrist) que expandiram globalmente a partir de 2020. A expansão de 2024 é particularmente significativa para a região: - **Brasil** - País de origem do grupo; alvo primário com foco em clientes de bancos Itaú, Bradesco, Banco do Brasil - **México** - Segunda maior economia LATAM; campanha imita SAT (Receita Federal mexicana) e CFE (energia) - **Argentina** - Imita AFIP (administração tributária); cresce junto com aumento de adoção cripto no país - **Espanha** - Expansão para Europa aproveitando diáspora brasileira e laços históricos Portugal/Espanha A interrupção pela [[Interpol]] em janeiro de 2024 - que resultou em 5 prisões no Brasil - não foi suficiente para desmantelar a operação. O modelo MaaS significa que múltiplos operadores independentes podem continuar campanhas mesmo após prisões de desenvolvedores principais. ## Indicadores de Comprometimento > **TLP:WHITE** - Indicadores de fontes públicas - **Técnica DGA**: Seeds baseadas em data + chave específica do usuário; resolução via `dns.google` (DoH) - **Binários**: Executáveis inflados com padding de arquivos BMP (até 400MB) - **Certificados abusados**: ASUSTEK e outros certificados legítimos roubados - **C2 Pattern**: Comúnicação HTTP com mensagens `ACTION+HELLO`, `CLIENT_SOLICITA_DDS_MDL` - MITRE ATT&CK - Grandoreiro (S0531) ## Relevância para o Brasil e LATAM O Grandoreiro é, sem dúvida, a ameaça de malware bancário mais relevante para o Brasil e a América Latina em 2024-2025. Originalmente desenvolvido e operado por grupos cibercriminosos brasileiros, o trojan ataca diretamente clientes de bancos como Itaú, Bradesco, Banco do Brasil, Caixa Econômica Federal e Santander Brasil - instituições com dezenas de milhões de correntistas. A adoção de temáticas fiscais nativas (notificações da Receita Federal, PIX, boletos) torna os lures especialmente convincentes para o público brasileiro, que está habituado a comúnicações eletrônicas dessas entidades. No contexto regional mais amplo, o México é o segundo maior alvo, com campanhas que imitam o SAT (Sistema de Administración Tributaria) e a CFE (Comisión Federal de Electricidad). A Argentina também enfrenta campanhas que exploram o AFIP (Administración Federal de Ingresos Públicos) e a crescente adoção de criptomoedas no país. A operação coordenada pela Interpol em janeiro de 2024, que resultou em 5 prisões no Brasil, demonstrou tanto a relevância regional da ameaça quanto a insuficiência de ações pontuais contra grupos organizados em modelo MaaS com múltiplos operadores. Organizações do setor financeiro brasileiro devem implementar controles específicos contra o Grandoreiro: detecção de padrões DGA com resolução via DNS-over-HTTPS, monitoramento de binários com tamanho anômalo (acima de 100MB), e verificação de certificados digitais de executáveis. Clientes bancários devem ser alertados sobre campanhas de phishing com temas tributários. O CERT.br e o Banco Central do Brasil são fontes primárias de alertas e IoCs atualizados sobre esta ameaça endêmica. --- *Fonte: [Kaspersky Securelist - Grandoreiro Banking Trojan](https://securelist.com/grandoreiro-banking-trojan/114257/)* *Fonte: [IBM X-Force - Grandoreiro Banking Trojan Unleashed](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed)* *Fonte: [The Hacker News - Grandoreiro Resurfaces After Jánuary Takedown](https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html)* *Fonte: [BleepingComputer - Grandoreiro Targets Manufacturers Spain Mexico](https://www.bleepingcomputer.com/news/security/grandoreiro-banking-malware-targets-manufacturers-in-spain-mexico/)* *Fonte: [Interpol - Financial Fraud Operation](https://www.interpol.int/en/News-and-Events/News/2024/INTERPOL-financial-fraud-operation-arrests-in-five-continents)*