Власти пресекли операцию по распространению вредоносного ПО в банке Grandoreiro Bank

Group-IB, компания по кибербезопасности, помогла Интерполу и Бразилии ликвидировать операцию банковского трояна Грандорейро, поскольку их опыт в разведке и расследовании угроз был ключевым.

Образцы вредоносного ПО, собранные в ходе независимых расследований в Бразилии и Испании (2020–2022 гг.), были проанализированы Group-IB и другими партнерами, что помогло отследить постоянно меняющуюся инфраструктуру злоумышленников и точно определить активный сервер управления.

Совместные усилия привели к аресту пяти менеджеров в январе 2024 года.

Grandoreiro, представляющая серьезную угрозу с 2017 года, использовала фишинговые электронные письма, выдававшие себя за законные организации, для нападения на жертв в испаноязычных странах.

Вредоносное ПО крадет финансовые данные, используя многосторонний подход: он отслеживает нажатия клавиш для захвата учетных данных для входа, имитирует щелчки мыши для потенциально мошеннических транзакций, совместно использует экран жертвы для взлома в режиме реального времени и отображает вводящие в заблуждение всплывающие окна, чтобы обманом заставить пользователей скомпрометировать. информация

Нацеливаясь на банковские счета, вредоносная программа специально собирает имена пользователей и банковские идентификаторы, обеспечивая несанкционированный доступ, что позволяет преступникам полностью контролировать учетную запись жертвы и перекачивать средства.

Для отмывания денег они используют сеть отмывания денег, вероятно, переводя украденные средства в Бразилию, и, по оценкам, вредоносное ПО украло у жертв более 3,5 миллионов евро, а потенциальные убытки превысят 110 миллионов евро, если попытки кражи будут успешными.

В ответ на кампанию киберпреступности, нацеленную на испанские банки с использованием вредоносного ПО Grandoreiro, власти Бразилии и Испании независимо друг от друга собрали образцы в период с 2020 по 2022 год.

Чтобы улучшить свои расследования, они сотрудничали с подразделением Интерпола по борьбе с киберпреступностью, а компания Group-IB, занимающаяся кибербезопасностью, присоединилась к усилиям по анализу образцов вредоносного ПО.

Их специалисты по анализу угроз и кибер-исследованиям сыграли ключевую роль в анализе образцов Grandoreiro, что позволило следователям отслеживать постоянно меняющуюся сетевую инфраструктуру вредоносного ПО и точно определять IP-адрес командного сервера.

Бразилия и Испания пользуются сетью и опытом Интерпола

В августе 2023 года Бразилия провела рейды в пяти штатах, арестовав разработчиков и операторов банковского вредоносного ПО Grandoreiro.

Директор подразделения Интерпола по борьбе с киберпреступностью Крейг Джонс подчеркнул важность обмена информацией для успешной операции по борьбе с киберпреступностью, подчеркнув роль Интерпола как моста между правоохранительными органами и частными организациями в содействии обмену разведданными.

Это сотрудничество открывает путь для дальнейшего регионального сотрудничества в борьбе с киберпреступностью, поскольку Интерпол активно поддерживает текущие расследования в Бразилии, Испании и других странах-членах.

Расследование Group-IB отследило постоянно развивающуюся сетевую инфраструктуру вредоносного ПО, определило IP-адрес активного сервера C2 и передало его Интерполу для помощи в их работе.

В результате операции были задержаны пять человек, ответственных за банковское вредоносное ПО, а также постановления суда о заморозке и конфискации активов, демонтаже финансовой инфраструктуры преступной организации и, возможно, возвращении украденных средств.

Будьте в курсе новостей кибербезопасности, официальных документов и инфографики. Следуйте за нами в LinkedIn и Твиттер.