ESET a collaboré avec la police fédérale du Brésil pour démanteler le botnet Grandoreiro. ESET a contribué au projet en fournissant des analyses techniques, des informations statistiques, des noms de domaine et des adresses IP de serveur de commande et de contrôle (C&C).
En raison d’un défaut de conception dans le protocole réseau de Grandoreiro, les chercheurs d’ESET ont également pu avoir un aperçu de la victimologie du botnet.
Cette opération visait des personnes soupçonnées d’être haut placées dans la hiérarchie opérationnelle de Grandoreiro. L’enquête menée par la police fédérale brésilienne a conduit à plusieurs arrestations. Les chercheurs d’ESET ont fourni des données cruciales pour identifier les comptes responsables de la configuration et de la connexion aux serveurs C&C de Grandoreiro.
Grandoreiro est l’un des nombreux chevaux de Troie bancaires d’Amérique latine. Il est actif depuis au moins 2017 et les chercheurs d’ESET le suivent de près depuis sa création. Grandoreiro vise le Brésil, le Mexique, l’Espagne et, depuis 2023 l’Argentine.
Si en termes de fonctionnalités Grandoreiro n’a pas beaucoup évolué depuis le dernier article de blog d’ESET Research sur le groupe en 2020, Grandoreiro a connu un développement rapide et constant. Nous avons même observé plusieurs nouvelles compilations par semaine. On note une nouvelle version en moyenne tous les quatre jours entre février 2022 et juin 2022.
L’opérateur doit toujours interagir manuellement avec la machine compromise afin de voler l’argent d’une victime. Le logiciel malveillant permet les actions suivantes :
- Blocage des écrans des victimes
- Enregistrement des frappes au clavier
- Simulation de l’activité de la souris et du clavier
- Partage de l’écran ou des écrans des victimes
- Affichage de fausses fenêtres pop-up
« Les systèmes automatisés d’ESET ont traité des dizaines de milliers d’échantillons Grandoreiro. L’algorithme de génération de domaine (DGA) que le logiciel malveillant utilise depuis octobre 2020 environ produit un domaine principal par jour.
C’est le seul moyen pour Grandoreiro d’établir une connexion à un serveur C&C. Le DGA contient également une énorme configuration statique », explique Jakub Souček, chercheur chez ESET, qui a coordonné l’équipe qui a analysé Grandoreiro et d’autres chevaux de Troie bancaires latino-américains. « Grandoreiro est similaire à d’autres chevaux de Troie bancaires d’Amérique latine, principalement grâce à ses fonctionnalités de base évidentes et au regroupement de ses téléchargeurs dans les programmes d’installation MSI. »
La structure de son protocole réseau du botnet Grandoreiro a permis aux chercheurs d’ESET d’avoir accès aux coulisses de son fonctionnement. ESET a ainsi eu un aperçu de la victimologie. Les serveurs C&C de Grandoreiro fournissent des informations sur les victimes connectées. En examinant ces données pendant plus d’un an, nous concluons que 66 % étaient des utilisateurs de Windows 10, 13 % utilisaient Windows 7, Windows 8 représentait 12 % et 9 % étaient des utilisateurs de Windows 11.
Étant donné que la répartition géographique des victimes de Grandoreiro est peu fiable, nous nous référons à la télémétrie ESET : l’Espagne représente 65 % de toutes les victimes, suivie du Mexique avec 14 %, du Brésil avec 7 % et de l’Argentine avec 5 % ; les 9 % restants se trouvent dans d’autres pays d’Amérique latine. Nous notons également qu’en 2023, nous avons constaté une baisse significative de l’activité de Grandoreiro en Espagne, compensée par une augmentation des campagnes au Mexique et en Argentine.