# Grandoreiro > Tipo: **banking trojan** · S0531 · [MITRE ATT&CK](https://attack.mitre.org/software/S0531) ## Visão Geral [[s0531-grandoreiro|Grandoreiro]] é um banking trojan de origem **brasileira**, escrito em **Delphi**, ativo desde pelo menos 2016. Opera sob um modelo exclusivo de distribuição fechada - diferente do MaaS tradicional, o acesso ao código-fonte é limitado a um grupo restrito de operadores de confiança, tornando a operação mais coesa e difícil de infiltrar. Faz parte do grupo **Tetrade** de banking trojans latino-americanos, junto com [[casbaneiro|Casbaneiro]], [[mekotio|Mekotio]] e [[guildma|Guildma]]. Em 2016-2019, o Grandoreiro operava quase exclusivamente no Brasil. A partir de 2020, expandiu-se para México, Portugal e Espanha. Em 2024, atingiu escala verdadeiramente global, com **1.700 bancos e 276 carteiras de criptomoedas** como alvos em **45 países e territórios** em todos os continentes, adicionando África e Ásia à lista de alvos. **Escala de impacto 2024:** - De janeiro a outubro de 2024: mais de **150.000 infecções** bloqueadas impactando **30.000+ usuários** - O Grandoreiro representa ~5% de todos os ataques de banking trojans globais detectados pela Kaspersky em 2024 - Em 2023, tinha como alvo 900 bancos em 40 países - crescimento de 89% em 12 meses **Relevância LATAM/Brasil:** O Grandoreiro é considerado a ameaça financeira mais prevalente na América Latina, responsável por **16,83% de todas as infecções de banking trojans** na região entre julho de 2023 e julho de 2024. De origem brasileira, tem histórico de campanhas impersonando a Receita Federal, DETRAN, prefeituras e órgãos fiscais. ## Como Funciona ### Arquitetura Técnica O Grandoreiro é desenvolvido em **Delphi** (linguagem preferida de desenvolvedores brasileiros de malware) e utiliza arquitetura modular com componentes separados para evasão, download e payload final. **Técnicas de evasão evoluídas:** - **Executáveis inflados:** O binário principal excede **300MB** deliberadamente para frustrar sandboxes com limites de tamanho de arquivo - uma técnica chamada binary padding - **CAPTCHA anti-sandbox:** A versão 2024 adicionou CAPTCHA antes da execução do payload principal para evadir análise automatizada - **Ciphertext Stealing (CTS):** Técnica criptográfica nova para malware, adotada em 2024, que cifra strings internas do malware - tornando detecção por string matching ineficaz - **Mouse behavior tracking:** A versão 2024 registra e replica movimentos naturais de mouse para enganar sistemas antifraude baseados em ML que analisam comportamento de sessão ### DGA - Domain Generation Algorithm O Grandoreiro usa uma DGA sofisticada baseada na data atual para calcular domínios C2. A versão 2024 introduziu **múltiplas seeds** que geram domínios diferentes para cada modo ou funcionalidade, separando tarefas C2 entre múltiplos operadores: - **Seed principal:** Domínio de comunicação com operador ativo - **Seeds secundárias:** Domínios para módulos específicos (download de atualizações, exfiltração, etc.) - O porto C2 é calculado a partir dos primeiros 4 dígitos do IP via mapeamento personalizado Portas C2 observadas resolvendo para IPs brasileiros, com mudança de seed a cada poucas semanas. ### Geofencing e Distribuição O Grandoreiro implementa **geofencing ativo**: os links de phishing respondem diferentemente baseados na geolocalização do IP. Usuários fora das regiões-alvo recebem resposta inócua, enquanto usuários em LATAM, Portugal e Espanha recebem o payload. Isso dificulta análise de pesquisadores e filtragem por URL. ### Operação do Ataque (Banking Overlay) 1. A vítima recebe phishing impersonando órgão fiscal (SAT, Receita Federal, CFE, AFIP, SARS) 2. Link geofenceado leva ao download de ZIP com executável inflado 3. O executável consulta a DGA para localizar o servidor C2 ativo 4. C2 descoberto via **dead drop resolver** (Google Docs, Pastebin, outros) 5. Operador é notificado quando a vítima abre página de banco-alvo 6. Operador bloqueia tela da vítima e exibe **overlay falso** de autenticação bancária 7. Overlay captura credenciais e tokens 2FA em tempo real 8. Fundos são transferidos para rede de mulas com base no Brasil ### Versão de Outlook (2024) A versão de 2024 adicionou capacidade de usar o **cliente Microsoft Outlook** do sistema infectado para propagar phishing a partir de endereços de e-mail legítimos da vítima - aumentando drasticamente a taxa de sucesso das campanhas por abusar da reputação do domínio do remetente. ## Attack Flow ```mermaid graph TB A["📧 Phishing Fiscal<br/>Impersona SAT/Receita/CFE<br/>E-mail com link geofenceado"] --> B["🔗 Link Geofenceado<br/>Filtra por IP/geolocalização<br/>Só entrega payload em LATAM"] B --> C["📦 ZIP + EXE Inflado<br/>Executável maior que 300MB<br/>CAPTCHA anti-sandbox"] C --> D["🌐 DGA Multi-seed<br/>Calcula domínio C2 por data<br/>Dead drop via Google Docs"] D --> E["👁️ Monitoramento<br/>Aguarda jánela de banco<br/>Keylog + screenshot ativo"] E --> F["📞 Alerta ao Operador<br/>C2 notifica operador<br/>quando banco é aberto"] F --> G["🖥️ Banking Overlay<br/>Bloqueia tela da vítima<br/>Exibe pop-up falso de banco"] G --> H["🏦 Captura Credenciais<br/>Login + senha + 2FA<br/>Overlay de 1.700 bancos"] H --> I["💸 Fraude + Mulas<br/>Transferência para rede<br/>de laranjas no Brasil"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef geo fill:#e67e22,stroke:#d35400,color:#fff classDef download fill:#f39c12,stroke:#d68910,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef monitor fill:#2980b9,stroke:#1a5276,color:#fff classDef overlay fill:#c0392b,stroke:#922b21,color:#fff classDef impact fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B geo class C download class D c2 class E,F monitor class G,H overlay class I impact ``` ## TTPs Mapeados | Tática | Técnica | Uso pelo Grandoreiro | |--------|---------|---------------------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Phishing com link geofenceado impersonando órgãos fiscais | | Execution | [[t1059-005-visual-basic\|T1059.005]] | Scripts VBS no instalador modular | | Persistence | [[t1547-009-shortcut-modification\|T1547.009]] | Modificação de atalhos para persistência | | Defense Evasion | [[t1027-013-encryptedencoded-file\|T1027.013]] | Binary padding >300MB, CTS encryption, XOR encoding | | Defense Evasion | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Executável com nome imitando software legítimo | | Discovery | [[t1057-process-discovery\|T1057]] | Monitoramento de jánelas para identificar apps bancários abertos | | Discovery | [[t1124-system-time-discovery\|T1124]] | Uso do tempo do sistema para cálculo da DGA | | Collection | [[t1539-steal-web-session-cookie\|T1539]] | Roubo de cookies de sessões bancárias | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | C2 localizado via Google Docs, Pastebin | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Comúnicação C2 criptografada | | C2 | [[t1102-002-bidirectional-communication\|T1102.002]] | Comúnicação bidirecional com operador | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados pelo mesmo canal C2 | ## Evolução e Operação Policial (2024) ```mermaid timeline title Evolução do Grandoreiro 2016 : Primeiras amostras no Brasil : Delphi + operação fechada 2020 : Expansão para México : Portugal e Espanha 2021 : Primeiras prisões de operadores : Operação local no Brasil 2022 : 900 bancos em 40 países : XOR string encryption 2023 : ESET sinkholing ativo de C2 : 150.000 tentativas bloqueadas 2024 : Operação Interpol - 5 presos : DGA multi-seed + CTS + Outlook : 1.700 bancos em 45 países ``` ### Linha do Tempo | Período | Evento | |---------|--------| | 2016 | Primeiras amostras detectadas - operações exclusivas no Brasil | | 2020 | Expansão para México, Portugal e Espanha | | 2021 | Primeiras prisões de operadores no Brasil - operação local | | 2022 | 900 bancos alvos em 40 países; XOR-based string encryption | | 2023 | ESET inicia sinkholing ativo dos servidores C2; 150.000 tentativas de ataque em 2020-2022 | | Ján/2024 | Operação Interpol: 5 prisões no Brasil (programadores e operadores) em 5 estados | | Mar/2024 | IBM X-Force detecta nova versão com DGA multi-seed e Outlook spreader | | Out/2024 | Kaspersky detecta versão "lite" focada no México; confirmação de split do codebase | | 2024 | 1.700 bancos e 276 carteiras cripto em 45 países; técnicas CTS e mouse tracking | ### Operação Interpol - Janeiro 2024 Em janeiro de 2024, a Interpol coordenou uma operação em colaboração com a Polícia Federal Brasileira, ESET, Kaspersky, Group-IB e Scitum. Foram realizadas buscas em cinco estados brasileiros, resultando na prisão de **5 administradores e programadores** responsáveis pelo Grandoreiro. A ESET contribuiu com sinkholing ativo dos servidores C2 - ao emular o protocolo de rede do Grandoreiro, pesquisadores descobriram uma falha crítica: o servidor C2 respondia com **lista de todos os dispositivos conectados** a qualquer conexão, permitindo coleta de inteligência sobre o número e localização de vítimas. **Resultado pós-prisões:** Apenas uma parte do grupo foi presa. Os operadores remanescentes continuaram ataques e **dividiram o codebase em versões menores e localizadas** - uma reação direta às prisões para dificultar análise e atribuição. Em 2024, surgiram simultaneamente duas bases de código distintas: 1. **Versão atualizada** com DGA multi-seed, CTS encryption e Outlook spreader - operadores principais 2. **Versão legacy/lite** focada no México com ~30 bancos-alvo - afiliados com acesso ao código antigo ## Relevância LATAM/Brasil ```mermaid pie title Distribuição Geografica de Alvos (2024) "Brasil" : 35 "Mexico" : 25 "Espanha" : 15 "Argentina" : 10 "Portugal" : 8 "Outros (40+ paises)" : 7 ``` > [!danger] A Ameaça Financeira #1 da América Latina > O Grandoreiro é o banking trojan com maior número de vítimas na América Latina desde 2016. Sua origem brasileira, operação em modelo semi-fechado e resiliência pós-prisões tornam-no uma ameaça persistente de longa duração. Em 2024, responsável por **~5% de todos os ataques globais de banking trojans** segundo a Kaspersky. > [!warning] Países mais Afetados > México, Brasil, Espanha e Argentina lideram o impacto. Em 2024, a Argentina foi destaque como país fortemente visado. Em dezembro 2024 a abril 2025, mais de 4.400 mensagens de negociação foram identificadas em vazamento de operações relacionadas. O grupo tem conexões confirmadas com operadores do [[mekotio|Mekotio]] - descoberto durante análise de materiais apreendidos na operação de 2024. > [!tip] Setores e Vetores Alvos > - **Setor financeiro:** Clientes de bancos brasileiros, mexicanos, argentinos e espanhóis - 1.700 instituições alvejadas > - **Criptomoedas:** 276 carteiras digitais monitoradas para overlay de roubo de credenciais > - **Usuários corporativos com Outlook:** Versão 2024 usa Outlook da vítima para propagar phishing com reputação do domínio corporativo > - **Lures:** Receita Federal, DETRAN, SAT, CFE, AFIP, SARS, Secretaria de Finanças ## Indicadores de Comprometimento **Categorias a monitorar:** - Executáveis com tamanho anormalmente grande (>100MB) executados de caminhos temporários (`%TEMP%`, `%APPDATA%`) - Consultas DNS com padrão algorítmico (DGA) de alta entropia - Resolução de domínios do Google Docs seguida de conexão a IPs brasileiros em portas calculadas - Chaves de registro de persistência em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` - Processo `OUTLOOK.EXE` enviando e-mails em volume incomum **Padrões de rede:** - Conexões saindo para IPs com portas na faixa calculada pelo mapeamento de dígitos da DGA - Tráfego para domínios com TTL curto e nome gerado algoritmicamente - Comúnicação bidirecional com intervalos regulares (polling C2) ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **Tamanho de executável:** Monitorar execução de arquivos >100MB a partir de diretórios temporários - técnica característica do Grandoreiro para evadir sandboxes > - **DGA Detection:** Implementar análise de DGA no DNS - os domínios Grandoreiro têm entropia e padrão reconhecíveis. Publicações regulares de IoCs pela ESET e Kaspersky > - **Dead Drop Monitoring:** Alertar para consultas a Google Docs/Pastebin seguidas de conexão HTTP/S a IPs não-categorizados na sequência > - **Geofencing reverso:** Detectar URLs de phishing que respondem diferentemente por geolocalização via proxy/sandbox em IP LATAM > - **Outlook Abuse:** Monitorar o processo `OUTLOOK.EXE` enviando e-mails de contas não-interativas ou em volume incomum - indicativo da versão 2024 > - **YARA:** Regras para detecção de binary padding (PE Resources inflados com bytes nulos) e strings XOR com magic values característicos do Grandoreiro **Referências de detecção:** - ESET DNA Detection - cobertura contínua com atualização por amostra - Kaspersky GReAT - assinaturas atualizadas a cada nova campanha - IBM X-Force - regras para versão 2024 com DGA multi-seed ## Referências - [Kaspersky Securelist - Grandoreiro: o trojan global com ambições grandiosas](https://securelist.com/grandoreiro-banking-trojan/114257/) - 2024-10-22 - [IBM X-Force - Grandoreiro Banking Trojan Unleashed](https://www.ibm.com/think/x-force/grandoreiro-banking-trojan-unleashed) - 2024-05-16 - [Interpol - Disrupting a Grandoreiro malware operation](https://www.interpol.int/en/News-and-Events/News/2024/Disrupting-a-Grandoreiro-malware-operation) - 2024-03-18 - [ESET - ETeC 2024: How ESET participated in the Grandoreiro disruption](https://www.eset.com/blog/en/business-topics/threat-landscape/grandoreiro-takedown-eset/) - 2024-11-05 - [Kaspersky - New Grandoreiro light variant](https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-new-grandoreiro-light-variant) - 2024-10-22 - [MITRE ATT&CK - S0531](https://attack.mitre.org/software/S0531)