# Grandoreiro (Operadores) > [!danger] Grupo Ativo - Ameaça Financeira #1 da América Latina > Grupo criminoso brasileiro com origem confirmada em Sao Paulo, ativo desde 2017. Apesar de 5 prisoes em janeiro de 2024 coordenadas pela Interpol e Policia Federal, os operadores remanescentes continuam ataques globais. O codebase foi fragmentado em versoes menores após as prisoes, dificultando atribuicao. Responsavel por ~5% de todos os ataques de banking trojans no mundo em 2024. ## Visão Geral O grupo Grandoreiro e uma organização criminosa brasileira especializada em fraude bancaria eletronica em escala global. Fazem parte do **Tetrade** - as quatro principais familias de banking trojans de origem brasileira identificadas pela Kaspersky - ao lado dos grupos por tras do [[casbaneiro|Casbaneiro]], [[mekotio|Mekotio]] e [[guildma|Guildma]]. O grupo desenvolve e opera o [[s0531-grandoreiro|Grandoreiro (malware)]], um banking trojan escrito em Delphi que em 2024 tinha como alvo **1.700 bancos e 276 carteiras de criptomoedas em 45 paises e territorios** em todos os continentes. Diferente de operações MaaS abertas, o Grandoreiro historicamente operou sob um modelo de distribuição semi-fechado - acesso ao código-fonte restrito a um grupo de operadores de confiança. **Impacto financeiro documentado:** - Prejuizo confirmado: mais de **EUR 3,5 milhões** (estimativa conservadora da Interpol/Kaspersky) - Tentativas frustradas: até **EUR 110 milhões** segundo o banco espanhol CaixaBank - 150.000 infeccoes bloqueadas so entre janeiro e outubro de 2024 **Escala operacional 2024:** - 45 paises e territorios alvejados, em todos os continentes - 4.000+ bancos no portfolio de alvos (incluindo versoes lite) - 551 vitimas únicas conectadas ao C2 por dia em media (dado obtido por ESET via falha no protocolo RTC) - 114 novas vitimas únicas por dia O grupo tem colaboracao cruzada confirmada com operadores do [[mekotio|Mekotio]] - descoberta durante análise dos materiais apreendidos na operação de 2024. ## Estrutura e Modelo Operacional O grupo Grandoreiro nao e uma entidade monolitica. Pesquisadores identificam **pelo menos dois subgrupos distintos** operando simultaneamente em 2024: **Nucleo principal (pos-prisoes):** - Operadores que escaparam das prisoes de janeiro de 2024 - Desenvolvem versoes atualizadas com DGA multi-seed, CTS encryption e Outlook spreader - Targetam os 1.700 bancos na base global - Américas, Europa, Africa e Asia-Pacifico - Baseados no Brasil com rede de mulas em múltiplos paises **Afiliados/legacy operators:** - Acesso ao codebase antigo (pre-2024) - Operam versao "lite" focada no Mexico com ~30 bancos-alvo - Menor sofisticacao técnica, campanhas mais localizadas - Indicativo de que o código foi vazado ou compartilhado após os arrestos **Rede de suporte:** - Programadores (presos em 2024: ao menos 5 individuos) - Operadores de C2 (controlam manualmente as sessoes de banking overlay) - Rede de laranjas (mulas de dinheiro) para lavagem - confirmado que fundos sao transferidos ao Brasil - Distribuição de phishing via Outlook de vitimas comprometidas (versao 2024) ## Campanhas Recentes ### Grandoreiro Global Expansion 2024 Após as prisoes de janeiro de 2024, observou-se uma expansao agressiva. Em fevereiro de 2024, poucos dias após o anuncio das prisoes, spam traps detectaram aumento significativo em emails tematicos Grandoreiro - em particular mensagens se passando por comúnicacoes CFDI mexicanas. Campanha documentada em [[grandoreiro-global-expansion-2024|Grandoreiro Global Expansion 2024]]. **Escopo:** IBM X-Force rastreou campanhas atingindo +1.500 bancos em 60+ paises, expandindo para Africa, Europa e Indo-Pacifico. ### Grandoreiro Banking Campaign (Cronológica) Campanha historica e continua desde 2017, com foco inicial no Brasil e expansao progressiva. Detalhes completos em [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]]. **Vetores de phishing utilizados:** - Impersonificacao da Receita Federal do Brasil - Falso SAT (Mexico), CFE, AFIP (Argentina), SARS (Africa do Sul) - Impersonificacao de tribunais e orgaos judiciais - Comúnicacoes CFDI falsas (faturas eletronicas mexicanas) - Notificacoes de energia e telecom ### Campanha Smishing 2024 Evolução para canal SMS documentada em [[grandoreiro-smishing-campaign-2024|Grandoreiro Smishing Campaign 2024]], indicando adaptacao do grupo para canais moveis. ## Arsenal O grupo opera exclusivamente com o [[s0531-grandoreiro|Grandoreiro (malware)]] e suas variantes: | Componente | Função | |-----------|--------| | Loader/dropper | EXE Delphi inflado >300MB para evadir sandboxes | | DGA multi-seed | Gera 12+ dominios C2 por dia a partir da data | | Dead drop resolver | Localiza C2 via Google Docs, Pastebin | | Banking overlay | Bloqueia tela e exibe pop-up falso de banco | | Outlook spreader | Usa Outlook da vitima para propagar phishing | | Keylogger | Captura credenciais e tokens 2FA | | Mouse tracker | Registra movimentos para enganar antifraude comportamental | **Evolucoes técnicas documentadas (2024):** - **Ciphertext Stealing (CTS):** Técnica criptografica nova para malware, ofusca strings internas - **CAPTCHA anti-sandbox:** Bloqueia análise automatizada antes da execução do payload - **Geofencing ativo:** Links de phishing respondem diferentemente por geolocalização - **DGA multi-seed:** Seeds separadas por função/operador, gerando dominios distintos ## Attack Flow ```mermaid graph TB A["📧 Phishing Fiscal<br/>SAT / Receita Federal / CFE<br/>CFDI / Tribunal / Telecom"] --> B["🔗 Link Geofenceado<br/>Filtra por IP e geolocalização<br/>So entrega payload em LATAM/EU"] B --> C["📦 Dropper Inflado<br/>EXE Delphi maior que 300MB<br/>CAPTCHA anti-sandbox"] C --> D["🌐 DGA Multi-seed<br/>12+ dominios C2 por dia<br/>Dead drop via Google Docs"] D --> E["👁️ Monitoramento Ativo<br/>Aguarda jánela de banco<br/>Keylog + screenshot continuo"] E --> F["📞 Notificação ao Operador<br/>C2 alerta operador<br/>quando banco e acessado"] F --> G["🖥️ Banking Overlay<br/>Bloqueia tela da vitima<br/>Pop-up falso de autenticação"] G --> H["🔑 Captura de Credenciais<br/>Login + senha + token 2FA<br/>1.700 bancos no portfolio"] H --> I["📧 Propagação via Outlook<br/>Envia phishing por e-mail<br/>legitimo da vitima (2024)"] I --> J["💸 Fraude + Lavagem<br/>Transferencia para rede de laranjas<br/>Fundos repatriados ao Brasil"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef geo fill:#e67e22,stroke:#d35400,color:#fff classDef download fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef monitor fill:#2980b9,stroke:#1a5276,color:#fff classDef overlay fill:#c0392b,stroke:#922b21,color:#fff classDef spread fill:#16a085,stroke:#0e6655,color:#fff classDef impact fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B geo class C download class D c2 class E,F monitor class G,H overlay class I spread class J impact ``` *Legenda: Fluxo de ataque dos operadores Grandoreiro. Para detalhes tecnicos do malware, ver [[s0531-grandoreiro|Grandoreiro (malware)]].* ## Timeline Operacional ```mermaid timeline title Historico do Grupo Grandoreiro 2017 : Primeiras campanhas documentadas : Foco exclusivo no Brasil 2020 : Expansao para Mexico : Portugal e Espanha entram na mira 2021 : Primeiras prisoes locais : Operação da Policia Federal brasileira 2022 : 900 bancos em 40 paises : ESET inicia sinkholing de C2 : Brasil e Espanha compartilham amostras com Interpol 2023 : Agosto - Interpol coordena análise : Amostras correlacionadas entre BR e ES 2024 : Janeiro - Operação Grandoreiro : 5 presos em 5 estados do Brasil : Marco - Interpol anuncia operação : Codebase fragmentado em versoes lite : 1.700 bancos em 45 paises 2025 : Ataques continuam com 4.000 bancos : Shift para canais moveis (smishing) ``` ## Operação Grandoreiro - Janeiro 2024 Em **30 de janeiro de 2024**, a Policia Federal do Brasil deflagrou a **Operação Grandoreiro**, culminando em: - **5 mandados de prisao temporaria** cumpridos contra programadores e operadores - **13 mandados de busca e apreensao** em 5 estados: Sao Paulo, Santa Catarina, Para, Goias e Mato Grosso - Bloqueio e apreensao de ativos para descapitalizacao da estrutura criminosa **Parceiros da operação:** - Interpol (Cybercrime Unit - coordenacao geral) - ESET (sinkholing de C2, análise técnica, telemetria) - Kaspersky (TTPs, IoCs, correlação de amostras) - Group-IB (rastreamento de infraestrutura, identificação do C2 ativo) - Trend Micro (análise de DGA e infraestrutura C2) - Policia Nacional da Espanha (investigação paralela) - CaixaBank (identificou que operadores estavam no Brasil) - Europol (suporte) **Contribuicao técnica da ESET:** identificou uma falha critica no protocolo de rede RealThinClient (RTC) do Grandoreiro - o servidor C2 respondia com a lista de todos os dispositivos conectados a qualquer conexão, permitindo mapeamento das vitimas. Isso revelou **551 vitimas únicas conectadas por dia** em media e **114 novas por dia**. **Consequência pos-prisoes:** Apenas parte do grupo foi presa. Os operadores remanescentes continuaram ataques e dividiram o codebase em versoes menores para dificultar atribuicao. Investigacoes de materiais apreendidos revelaram conexoes com o grupo [[mekotio|Mekotio]] - um dos suspeitos tinha "relacoes muito proximas" com operadores daquele trojan. ## TTPs Mapeados | Tática | Técnica | Uso pelos Operadores | |--------|---------|---------------------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Phishing com link geofenceado impersonando orgaos fiscais e judiciais | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Anexos maliciosos em campanhas de email em massa | | Execution | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS no instalador modular do dropper | | Persistence | [[t1547-009-shortcut-modification\|T1547.009]] | Modificacao de atalhos para persistência após reinicializacao | | Defense Evasion | [[t1027-013-encryptedencoded-file\|T1027.013]] | Binary padding >300MB, CTS encryption, CAPTCHA anti-sandbox | | Defense Evasion | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Executavel com nome imitando software legitimo | | Discovery | [[t1057-process-discovery\|T1057]] | Monitoramento de jánelas para detectar apps bancarios ativos | | Discovery | [[t1124-system-time-discovery\|T1124]] | Tempo do sistema usado como seed para calculo da DGA | | Collection | [[t1539-steal-web-session-cookie\|T1539]] | Roubo de cookies de sessoes bancarias ativas | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | C2 localizado via Google Docs, Pastebin como dead drop | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Comúnicação C2 criptografada com chave assimetrica | | C2 | [[t1102-002-bidirectional-communication\|T1102.002]] | Comúnicação bidirecional com operador humano em tempo real | | Lateral Movement | [[t1534-internal-spearphishing\|T1534]] | Outlook da vitima usado para propagar phishing interno (2024) | | Exfiltration | [[t1041-exfiltration-c2\|T1041]] | Credenciais e dados exfiltrados pelo mesmo canal C2 | ## Relevância LATAM O grupo Grandoreiro e **a principal ameaça financeira para o Brasil e América Latina** por múltiplos indicadores: - **Origem:** Grupo com origem confirmada em Sao Paulo, Brasil - **Foco historico:** Brasil como mercado primario desde 2017 - **Escala regional:** Responsavel por **16,83% de todas as infeccoes de banking trojans na América Latina** (julho 2023 - julho 2024) - **Impacto Brasil:** 56.000 bloqueios so no Brasil em 2024, liderando o ranking global de vitimas - **Impacto Mexico:** 51.000 bloqueios no Mexico em 2024 - segundo lugar global - **Lures regionais:** Receita Federal, DETRAN, prefeituras, SAT mexicano, AFIP argentina, CFE ```mermaid pie title Distribuição de Bloqueios por Pais (2024) "Brasil" : 56 "Mexico" : 51 "Espanha" : 11 "Argentina" : 6 "Peru" : 4 "Outros" : 22 ``` *Dados: Kaspersky GReAT, janeiro-outubro 2024. Valores em milhares.* > [!warning] Paises mais Afetados na América Latina > Brasil lidera com 56 mil bloqueios documentados. Mexico em segundo com 51 mil. Argentina destacou-se em 2024 como novo alvo prioritario. Peru aparece com 4,4 mil registros. O grupo mira clientes de bancos de varejo, usuarios corporativos com Outlook e detentores de criptomoedas. Setores: [[financial|financeiro]] e [[cryptocurrency|criptomoedas]]. Para contexto regional completo, ver [[brasil|Brasil]], [[mexico|Mexico]], [[argentina|Argentina]] e [[latam|América Latina]]. ## Detecção e Defesa > [!tip] Estrategias de Detecção Prioritarias > Os operadores Grandoreiro exploram padroes comportamentais previstos nas TTPs abaixo. Priorize monitoramento proativo sobre indicadores estaticos (IoCs rotacionam frequentemente via DGA). **Detecção comportamental:** - **Binarios inflados:** Monitorar execução de EXEs com tamanho >100MB a partir de `%TEMP%` ou `%APPDATA%` - técnica distintiva do grupo para evasão de sandbox - **DGA Detection:** Implementar análise de DGA no DNS - dominios Grandoreiro tem entropia e padrão estrutural reconheciveis. ESET e Kaspersky públicam IoCs regularmente - **Dead Drop Monitoring:** Alertar para consultas a Google Docs ou Pastebin seguidas imediatamente de conexão HTTP/S a IPs nao-categorizados - **Geofencing reverso:** Usar sandbox com IP de LATAM para garantir entrega do payload em análise de URLs suspeitas - **Outlook Abuse:** Monitorar `OUTLOOK.EXE` enviando emails em volume incomum ou de contas nao-interativas **Detecção de rede:** - Conexoes saindo para IPs com portas calculadas por mapeamento de digitos DGA - Trafego DNS para dominios com TTL curto e nome de alta entropia - Polling C2 com intervalos regulares (comunicação bidirecional) **Mitigacoes relevantes:** - [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] - cobertura por Kaspersky, ESET, IBM X-Force - [[m1017-user-training|M1017 - User Training]] - conscientizacao sobre phishing fiscal - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - bloqueio de DGA e dead drops - [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] - controle de acesso a Google Docs/Pastebin como C2 **Fontes de detecção:** - ESET DNA Detection - cobertura continua, atualizada por amostra - Kaspersky GReAT - assinaturas atualizadas a cada nova campanha - IBM X-Force - regras para versao 2024 com DGA multi-seed - Trend Micro - regras para identificação de infraestrutura DGA ## Referências - [1](https://www.interpol.int/en/News-and-Events/News/2024/Disrupting-a-Grandoreiro-malware-operation) Interpol - Disrupting a Grandoreiro malware operation (2024-03-18) - [2](https://thehackernews.com/2024/01/brazilian-feds-dismantle-grandoreiro.html) The Hacker News - Brazilian Feds Dismantle Grandoreiro Banking Trojan (2024-01-31) - [3](https://securelist.com/grandoreiro-banking-trojan/114257/) Kaspersky Securelist - Grandoreiro: overview of recent versions and new tricks (2024-10-22) - [4](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-new-grandoreiro-light-variant) Kaspersky - New Grandoreiro light variant targeting Mexico (2024-10-22) - [5](https://www.kaspersky.com/about/press-releases/kaspersky-supports-interpol-coordinated-action-to-disrupt-grandoreiro-malware-operation) Kaspersky - Supports INTERPOL-coordinated action (2024-03-18) - [6](https://www.eset.com/blog/en/business-topics/threat-landscape/grandoreiro-takedown-eset/) ESET - How ESET participated in the Grandoreiro disruption (2024-11-05) - [7](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed) IBM X-Force - Grandoreiro Banking Trojan Unleashed (2024-05-16) - [8](https://cyberinsider.com/grandoreiro-banking-trojan-surges-globally-following-police-disruption/) Cyber Insider - Grandoreiro Surges Globally Following Police Disruption (2024-06-10) - [9](https://tiinside.com.br/en/09/06/2025/brasil-se-torna-epicentro-de-ataques-de-trojans-bancarios-na-america-latina/) TI Inside - Brasil se torna epicentro de ataques de trojans bancarios (2025-06-09) - [10](https://abes.com.br/en/trend-micro-e-interpol-unem-forcas-contra-o-trojan-bancario-grandoreiro/) ABES / Trend Micro - Trend Micro e Interpol unem forcas contra Grandoreiro (2024-06-21) - [11](https://attack.mitre.org/software/S0531/) MITRE ATT&CK - S0531 Grandoreiro