Dark
Light
Por 

Grandoreiro: Trojan bancário evolui e expande alvos em campanhas globais

“O malware tem uma estrutura complexa, o que facilitaria a sua deteção. A introdução do CTS demonstra que os criadores procuram constantemente formas de dificultar a ação das ferramentas de segurança.”
30 de Outubro, 2024

Em 2024, a cibersegurança continua a ser um dos principais focos para as instituições financeiras e para os especialistas em segurança, que observam com inquietação a evolução de ciberameaças como o trojan bancário Grandoreiro. Apesar de operações de grande escala levadas a cabo por autoridades internacionais, como a detenção de agentes-chave em cooperação com a INTERPOL no início deste ano, o malware mantém-se ativo, com novas versões e estratégias que desafiam os sistemas de segurança das principais entidades financeiras do mundo, incluindo em Portugal.

O retorno do Grandoreiro em versões leves e fragmentadas

A equipa de Pesquisa e Análise Global da Kaspersky (GReAT) revelou recentemente uma nova versão do Grandoreiro, caracterizada por uma estrutura mais leve e de operação fragmentada, adaptada especialmente para ataques no México. Esta versão, identificada em campanhas que visaram cerca de 30 bancos naquele país, sugere uma possível descentralização dos esforços dos seus criadores, que poderão ter dividido o código-fonte em versões modulares para facilitar a continuidade dos ataques, mesmo após a detenção de membros importantes da rede criminosa.

Segundo Fabio Assolini, diretor da divisão para a América Latina na Kaspersky, esta abordagem evidencia uma diferença fundamental na forma como o Grandoreiro é distribuído. Contrariamente ao modelo de “Malware-as-a-Service”, onde o código é vendido em fóruns clandestinos, o Grandoreiro mantém-se acessível apenas a afiliados de confiança. “Acreditamos que apenas um número limitado de agentes tem acesso ao código-fonte para desenvolver e adaptar o malware a novas campanhas”, explica Assolini. O facto de a sua estrutura ser fragmentada poderá indicar uma tendência que, embora atualmente focada na América Latina, poderá vir a expandir-se a outros territórios.

Técnicas avançadas para enganar sistemas de segurança

Além das novas versões mais leves, o Grandoreiro apresenta um arsenal de táticas sofisticadas que complicam a sua deteção. Entre as inovações está a capacidade de simular o movimento do cursor do utilizador, replicando os padrões naturais de utilização do touchpad, uma técnica que visa iludir as ferramentas antifraude e de aprendizagem automática que monitorizam o comportamento dos utilizadores. A Kaspersky indica que esta funcionalidade foi observada em amostras recentes do malware e reflete uma estratégia de evolução adaptativa que o torna mais difícil de identificar e bloquear.

Outra técnica inovadora implementada pelo Grandoreiro é a utilização de Ciphertext Stealing (CTS), um método de encriptação de cadeias de código malicioso que dificulta a análise forense do malware. “O malware tem uma estrutura complexa, o que facilitaria a sua deteção. A introdução do CTS demonstra que os criadores procuram constantemente formas de dificultar a ação das ferramentas de segurança,” afirma Assolini.

Impacto global e alvos estratégicos

O Grandoreiro, que já está ativo desde 2016, atingiu uma escala verdadeiramente global em 2024, afetando instituições financeiras em 45 países e ampliando as suas operações a mercados na Ásia e África. O trojan é responsável por cerca de 5% dos ataques globais de malware bancário, segundo dados da Kaspersky, uma percentagem que evidencia a relevância e o impacto deste malware no panorama da cibersegurança. Entre janeiro e outubro de 2024, os cinco países mais afetados foram o Brasil (com 56.000 deteções), México (51.000), Espanha (11.000), Argentina (6.400) e Peru (4.400), num total que abrange também Portugal.

Com esta extensão, os alvos do Grandoreiro incluem não só bancos, mas também carteiras de criptomoedas – setores particularmente visados pelo seu potencial de lucro rápido e anonimato nas transações. Em Portugal, o trojan representa uma preocupação crescente, face à sofisticação das suas técnicas de evasão e à diversificação das suas variantes.

Desafios e perspetivas para o futuro da cibersegurança

As constantes adaptações e estratégias evasivas do Grandoreiro colocam em destaque a urgência de uma resposta coordenada e inovadora por parte das instituições de cibersegurança e dos próprios bancos. A fragmentação do malware em módulos menores e a sua adaptação regional são tendências que podem vir a disseminar-se, colocando pressão adicional sobre as ferramentas antifraude. Este cenário foi tema de debate na Cimeira de Analistas de Segurança (SAS) da Kaspersky, que ocorreu em Bali, onde especialistas de segurança discutiram estratégias para enfrentar esta nova vaga de ciberameaças.

A necessidade de um novo paradigma de proteção digital é evidente. No atual contexto, a capacidade dos sistemas de segurança depende de inovações que não apenas detetem, mas antecipem as estratégias dos criadores de malware. A escalada de ameaças como o Grandoreiro e a sua adaptação rápida tornam claro que o setor financeiro deve estar preparado para responder a um inimigo que, longe de estar derrotado, continua a encontrar novas formas de contornar barreiras e explorar fragilidades a nível global.

Ver mais

Opinião

A Inteligência Artificial e a Transformação do Recrutamento de Líderes

Pedro Duarte Santos

404: Infraestruturas Críticas Not Found

Bruno Castro

Guia Prático Para Defender (em condições!) Uma Teoria de Ciberataque Para o Apagão

Bruno Horta Soares

Cibersegurança em Alta Tensão: O Oportuno Choque de Abril

Rui Nuno Castro

A Defesa Nacional também se faz no digital

Rui Ribeiro

Operadores de telecomunicações voltam ao caminho de crescimento? A Inteligência Artificial e a Cloud indicam que sim 

Fabio Cerone
Ver mais

Relacionados