proc-grandoreiro-overlay-attack

# PROC — Grandoreiro: Ataque de Overlay Bancário ## Visão Geral O [[s0531-grandoreiro|Grandoreiro]] é um trojan bancário brasileiro desenvolvido em Delphi, operado por grupos criminosos organizados com estrutura de afiliados. Seu procedimento central é o **ataque de overlay**: quando a vítima infectada acessa o site do seu banco, o malware detecta a jánela e projeta uma tela falsa (overlay) por cima da interface legítima, capturando credenciais e permitindo que o operador humano assuma o controle da sessão bancária em tempo real via protocolo RDP reverso. ## Técnica MITRE - **Tática:** Collection / Credential Access - **Técnica:** [[t1056-input-capture|T1056 - Input Capture]] (overlay bancário + keylogger) - **Técnicas adicionais:** [[t1185-browser-session-hijacking|T1185]], [[t1113-screen-capture|T1113]], [[t1059-001-powershell|T1059.001]] ## Diagrama de Sequência — Cadeia de Ataque Completa ```mermaid sequenceDiagram participant O as Operador Grandoreiro participant C2 as Servidor C2 participant V as Vítima (Windows) participant B as Banco (Site Legítimo) note over V: Fase 1 — Infecção Inicial V->>V: Recebe email phishing (tema PIX, SEFAZ, SERASA) V->>V: Clica em link → download de ZIP do OneDrive/Dropbox V->>V: Executa MSI/EXE → Grandoreiro instalado V->>C2: Beacon inicial com info do sistema (banco detectado?) C2->>V: ACK + configuração de targets (lista de bancos) note over V: Fase 2 — Monitoramento de Jánelas V->>V: Grandoreiro monitora títulos de jánelas (WinSpy) V->>B: Vítima acessa internet banking note over V,O: Fase 3 — Overlay em Tempo Real V->>C2: Alerta: jánela bancária detectada C2->>O: Notificação ao operador O->>C2: Ativa overlay para este alvo C2->>V: Envia comando overlay V->>V: Grandoreiro projeta tela falsa sobre jánela bancária V->>V: Vítima digita credenciais no overlay falso V->>C2: Credenciais capturadas enviadas ao operador note over O,V: Fase 4 — Controle Remoto (BRAT Protocol) O->>C2: Solicita sessão RDP reverso C2->>V: Inicia módulo BRAT (Remote Access) O->>V: Controle total do desktop via protocolo proprietário O->>B: Opera transações fraudulentas na sessão autenticada da vítima V->>V: Grandoreiro exibe tela de "Aguarde verificação" para distrair ``` ## Passo a Passo Detalhado ### Fase 1 — Distribuição via Phishing Temático LATAM Os operadores do [[s0531-grandoreiro|Grandoreiro]] enviam emails em **português perfeito** com temas altamente convincentes para o Brasil: - Notificação de PIX bloqueado (Banco Central do Brasil) - Pendência de SEFAZ / nota fiscal eletrônica - Regularização de CPF na Receita Federal - Débito em conta do SERASA / SCPC O link no email aponta para **OneDrive, Dropbox ou Google Drive** — serviços de alta reputação que dificultam bloqueio por proxies. O arquivo é um **ZIP contendo MSI** (Microsoft Installer), que bypassa muitas soluções de AV por estar em formato de instalador legítimo. ### Fase 2 — Instalação e Persistência O MSI executa um script PowerShell obfuscado ([[t1059-001-powershell|T1059.001]]) que descompacta o binário Grandoreiro em `%APPDATA%\{guid_aleatório}\`. A persistência é estabelecida via: - **Run key** no registro: `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1547-001-registry-run-keys|T1547.001]]) - Tarefa agendada disfarçada de `WindowsUpdaté` ([[t1053-005-scheduled-task|T1053.005]]) O binário é altamente obfuscado ([[t1027-obfuscated-files|T1027]]) e muda de hash a cada compilação — técnica de **compilação polimórfica** que inválida detecção por assinatura estática. ### Fase 3 — Fingerprinting Bancário e Overlay O Grandoreiro monitora continuamente os títulos de jánelas abertas usando a API `GetWindowTextW`. A lista de alvos bancários é mantida localmente e atualizada via C2. Quando a vítima abre o internet banking, o malware: 1. Tira **screenshot da tela atual** para enviar ao operador 2. Projeta uma **jánela overlay** (full-screen ou em cima da jánela bancária) com HTML/CSS que imita perfeitamente o layout do banco — incluindo logo, cores e campos 3. O overlay possui campos de formulário HTML para capturar: número de conta, senha, token OTP, pergunta de segurança A vítima não percebe diferença — a interface falsa é uma réplica pixel-perfect do banco real. ### Fase 4 — Protocolo BRAT e Fraude em Tempo Real O módulo BRAT (Browser Remote Access Tool) do Grandoreiro estabelece uma sessão de controle remoto usando um protocolo proprietário sobre TCP porta 65533. Com acesso ao desktop: - O operador vê em tempo real o que a vítima vê - Pode mover mouse, digitar, clicar — controle total - Realiza transferências PIX, TED, ou cadastra chaves PIX dos atacantes - Enquanto opera, exibe à vítima uma tela de "Aguardando válidação do dispositivo" ## Ferramentas e Componentes | Componente | Tipo | Função | |------------|------|--------| | Grandoreiro (binário Delphi) | Trojan bancário | Núcleo do malware | | Módulo BRAT | RAT proprietário | Controle remoto do desktop | | Módulos de Overlay | HTML/CSS templates | Réplicas de interfaces bancárias | | MSI dropper | Empacotador | Entrega e instalação do malware | | C2 DGA | Geração de domínios | Anti-bloqueio de infraestrutura | ## Oportunidades de Detecção | Etapa | Indicador | Ferramenta | |-------|-----------|-----------| | Entrega | ZIP > MSI de cloud storage (OneDrive/Dropbox) | Email Gateway / Proxy | | Instalação | `msiexec.exe` criando EXE em `%APPDATA%` | EDR — File Creation | | Persistência | Run key com path em `%APPDATA%\{GUID}\` | SIEM / Sysmon Event 13 | | C2 | Beacon periódico para IP brasileiro (TCP 65533) | NDR / Firewall | | Overlay | Processo criando jánela full-screen sobre jánela bancária | EDR Behavioral | | Fraude | Transferência PIX de valor anômalo fora do horário habitual | Monitoramento bancário antifraude | ## Mitigações 1. **EDR comportamental** capaz de detectar process injection em browsers e criação de overlays 2. **Bloqueio de execução de MSI de paths fora de Program Files** via AppLocker/WDAC 3. **MFA por app authenticator** — o overlay não consegue capturar TOTP gerado em dispositivo separado 4. **Monitoramento antifraude bancário** com ML para detecção de sessões com comportamento de RAT (mouse movement patterns) 5. **DNS filtering** para bloquear infraestrutura C2 via feeds de IoC atualizados - [[s0531-grandoreiro|Grandoreiro Operators]] — grupo responsável pelo procedimento - [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]] — campanha principal desde 2017 - [[grandoreiro-global-expansion-2024|Grandoreiro Global Expansion 2024]] — expansão para 60 países - [[t1056-input-capture|T1056 - Input Capture]] — técnica MITRE central - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] — técnica complementar - [[t1115-clipboard-data|T1115 - Clipboard Data]] — captura de dados de clipboard (PIX) - [[t1027-obfuscated-files|T1027 - Obfuscated Files]] — evasão via compilação polimórfica - [[financial|Setor Financeiro]] — principal setor alvo no Brasil --- *Fonte: [Kaspersky — Grandoreiro Analysis 2024](https://securelist.com/grandoreiro-banking-trojan/111370/)* *Fonte: [ESET — Return of Grandoreiro 2024](https://www.welivesecurity.com/en/eset-research/return-grandoreiro/)* *Fonte: [Interpol — Operation Synergia coordena prisões de Grandoreiro](https://www.interpol.int/en/News-and-Events/News/2024/INTERPOL-leads-takedown-of-Grandoreiro-banking-trojan)*