# Grandoreiro Smishing Campaign 2024 > [!high] > Campanha massiva de smishing e phishing distribuindo o trojan bancário **Grandoreiro** em escala global a partir de março de 2024. Após operação da Polícia Federal brasileira em janeiro de 2024, operadores remanescentes expandiram ataques para além do LATAM, atingindo mais de 1.700 bancos em 45 países. ## Visão Geral A campanha de smishing do Grandoreiro em 2024 representa uma das operações de trojan bancário mais abrangentes já registradas na América Latina. O [[s0531-grandoreiro]] é um trojan bancário de origem brasileira, parte da família [[tetrade]], ativo desde pelo menos 2016 e operado como Malware-as-a-Service (MaaS). Em janeiro de 2024, uma operação coordenada pela Polícia Federal do Brasil, com apoio da INTERPOL, ESET, Kaspersky e Trend Micro, resultou na prisão de cinco operadores de alto nível nos estados de São Paulo, Santa Catarina, Pará, Goiás e Mato Grosso. Entretanto, a operação de desmantelamento foi apenas parcial. Os operadores remanescentes não apenas continuaram as atividades, mas aceleraram e diversificaram os vetores de ataque. A partir de março de 2024, o IBM X-Force registrou novas campanhas em larga escala, onde o malware passou a empregar algoritmos de geração de domínio (DGA) atualizados, criptografia por roubo de texto cifrado (CTS) e a capacidade de reutilizar clientes Microsoft Outlook das vítimas para propagar novos e-mails de phishing. O Brasil é o epicentro desta atividade. Entre julho de 2023 e julho de 2024, a Kaspersky bloqueou mais de 1,6 milhão de ataques de trojans bancários no país - 4.616 tentativas por dia. O Grandoreiro responde por 16,83% de todas as infecções por trojan bancário no LATAM, posicionando-se como a ameaça financeira mais crítica para o setor bancário regional. A expansão geográfica pós-prisões é notável: campanhas passaram a imitar órgãos como o SAT mexicano (Servicio de Administración Tributaria), a CFE (Comisión Federal de Electricidad), a AFIP argentina e até o serviço de impostos sul-africano (SARS), sinalizando uma mudança estratégica para mercados além do LATAM tradicional. ## Attack Flow ```mermaid graph TB A["📧 Phishing / Smishing<br/>Lures governamentais (SAT, CFE,<br/>Receita Federal) ou ZIP malicioso"] --> B["📎 Entrega do Payload<br/>Arquivo ZIP com executável<br/>disfarçado de PDF (390 MB+)"] B --> C["💻 Execução do Trojan<br/>Grandoreiro instalado via<br/>VBA macro ou HTA/VBS"] C --> D["🔗 C2 via DGA<br/>3 DGAs simultâneos<br/>IPs AWS / Azure (1-425 dias)"] D --> E["🕵️ Monitoramento Bancário<br/>Captura jánelas de navegador<br/>relacionadas a bancos-alvo"] E --> F["🖥️ Controle Remoto<br/>Keylogger, screenshots,<br/>controle de mouse/teclado"] F --> G["💸 Fraude Bancária<br/>Transações fraudulentas<br/>via mule network"] ``` ## Cronologia ```mermaid timeline title Grandoreiro Smishing Campaign 2024 Ján 2024 : Operação da PF do Brasil - 5 presos : ESET e Kaspersky apoiam investigação Mar 2024 : Novas campanhas em larga escala detectadas : IBM X-Force registra variantes DGA atualizados Mar 2024 : Campanhas imitando SAT/CFE México e AFIP Argentina Mai 2024 : Google TAG registra expansão para África do Sul Jun 2024 : Campanha global - 1.700 bancos em 45 países Out 2024 : 150.000 infecções bloqueadas (ján-out 2024) : Versões locais focadas no México identificadas ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1566.001-spearphishing-attachment\|T1566.001]] | E-mails com lures governamentais em PT, ES, EN | | Execução | [[T1204.002-user-execution-malicious-file\|T1204.002]] | Executável 390 MB+ disfarçado de PDF | | Persistência | [[T1059.005-vba-script\|T1059.005]] | VBA macro instala `FONTCACHE.DAT` | | C2 | [[T1568-dynamic-resolution\|T1568]] | 3 DGAs simultâneos, ~12 domínios/dia | | Coleta | Keylogger + Screenshots | Captura de credenciais bancárias | | Impacto | Fraude bancária | Controle remoto completo da sessão | ## Vítimas e Alvos - **Brasil**: 56.000 infecções bloqueadas (ján-out 2024) - principal alvo - **México**: 51.000 infecções bloqueadas; órgãos fiscais como vetor - **Espanha**: 11.000 infecções; campanha em parceria com autoridades espanholas - **Argentina**: 6.400 infecções; lures imitando AFIP - **África do Sul**: Novo mercado pós-prisões (lures SARS) - **1.700 bancos e 276 carteiras cripto** em 45 países/territórios ## Relevância LATAM O Grandoreiro é o trojan bancário mais prevalente no LATAM e a família de malware mais impactante para o sistema financeiro brasileiro. O modelo MaaS permite que operadores em múltiplos países adquiram acesso ao kit de ataque, resultando em campanhas simultâneas em Portugal, Chile, Peru e Colômbia. A operação de 2024 demonstra a resiliência deste ecossistema criminoso: mesmo após a prisão dos principais operadores, novos atores assumiram rapidamente as operações e ampliaram o escopo geográfico. Instituições financeiras brasileiras, especialmente os grandes bancos de varejo ([[financial|setor financeiro]]), permanecem alvos prioritários. ## Mitigação - Bloquear execução de arquivos executáveis em clientes de e-mail (especialmente `.exe`, `.hta`, `.vbs` em ZIPs) - Implementar filtros de e-mail multicamada com análise de sandboxing para anexos - Aplicar [[M1049-antivirus-antimalware|políticas de antimalware]] em endpoints com detecção comportamental - Monitorar comúnicações DNS suspeitas e tráfego para IPs de DGA conhecidos - Treinar usuários para não clicar em links de SMS/e-mail de órgãos fiscais - Consultar lista atualizada de IOCs via Securelist/Kaspersky e IBM X-Force ## Referências - [1](https://securelist.com/grandoreiro-banking-trojan/114257/) Kaspersky Securelist - Grandoreiro Banking Trojan: Overview (2024) - [2](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed) IBM X-Force - Grandoreiro Banking Trojan Unleashed (2024) - [3](https://thehackernews.com/2024/01/brazilian-feds-dismantle-grandoreiro.html) The Hacker News - Brazilian Feds Dismantle Grandoreiro (2024) - [4](https://www.interpol.int/News-and-Events/News/2024/Disrupting-a-Grandoreiro-malware-operation) INTERPOL - Disrupting a Grandoreiro malware operation (2024) - [5](https://thehackernews.com/2024/06/grandoreiro-banking-trojan-hits-brazil.html) The Hacker News - Grandoreiro Banking Trojan Hits Brazil (2024)