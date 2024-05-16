Desde março de 2024, o IBM X-Force vem monitorando diversas campanhas de phishing em larga escala que distribuem o trojan bancário Grandoreiro, provavelmente operado como um Malware-as-a-Service (MaaS). A análise do malware revelou grandes atualizações dentro do algoritmo de descriptografia de strings e geração de domínio (DGA), bem como a capacidade de usar clientes do Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing . A mais recente variante do malware também tem como alvo específico mais de 1.500 bancos globais, permitindo que os invasores realizem fraudes bancárias em mais de 60 países, incluindo regiões da América Central e do Sul, África, Europa e Indo-Pacífico. Embora as campanhas tenham sido tradicionalmente limitadas à América Latina, Espanha e Portugal, o X-Force observou campanhas recentes se passando pelo Tax Administration Service (SAT) do México, Federal Electricity Commission (CFE) do México, Secretária de Administração e Finanças do México, Receita federal da Argentina, e, notavelmente, o South African Revenue Service (SARS). O malware reformulado e o novo direcionamento podem indicar uma mudança na estratégia desde a última ação da polícia contra o Grandoreiro, provavelmente levando os operadores a expandir a implementação do Grandoreiro em campanhas globais de phishing, iniciando pela África do Sul.
Desde março de 2024, o X-Force tem observado campanhas de phishing que se passam pelo Tax Administration Service (SAT) do México, pela Federal Electricity Commission (CFE) do México, pela Secretária de administração e finanças da cidade do México e pela Receita federal da Argentina. Os e-mails visam usuários na América Latina, incluindo domínios de nível superior (TLDs) do México, Colômbia e Chile“.mx“,“.co“ e“.cl“. Quaisquer identidades reais foram ocultadas das imagens para preservar a privacidade.
A primeira campanha parece ser uma tentativa de ser percebida como oficial e urgente, informando ao alvo que ele está recebendo um aviso final referente a um débito da Taxa de Registro de Contribuinte Federal (RFC) que não foi pago. Se não for pago, as consequências podem incluir penalidades, multas e o bloqueio do número de identificação fiscal do usuário, afetando a capacidade do alvo de realizar negócios e acessar serviços do governo legalmente. Uma campanha adicional se faz passar pela Federal Electricity Commission (CFE) do México e lembra o destinatário de que ele se inscreveu no CFEMail e, portanto, pode acessar o extrato de conta em formato PDF e XML clicando em um dos links anexados. Uma terceira campanha, imitando o Secretária de administração e finanças, direciona o destinatário a clicar em um PDF para ler os detalhes sobre um aviso de conformidade. Uma campanha imitando a Receita Federal da Argentina instrui o usuário a baixar um novo documento fiscal e tomar as medidas cabíveis.
Em cada campanha, os destinatários são instruídos a clicar em um link para visualizar uma fatura ou taxa, extrato de conta, fazer um pagamento etc., dependendo da entidade representada. Se o usuário que clicar nos links estiver em um país específico (dependendo da campanha, México, Chile, Espanha, Costa Rica, Peru ou Argentina), ele será redirecionado para a imagem de um ícone em PDF, e um arquivo ZIP será baixado em segundo plano. Os arquivos ZIP contêm um grande executável disfarçado com um ícone PDF, criado no dia anterior ou no dia do envio do e-mail.
Figuras 1, 2: exemplos de e-mails se passando pelo SAT e CFE
Figuras 3, 4: Secretária de Administração e Finanças e AFIP
Normalmente, o malware Grandoreiro é visto em campanhas que visam usuários na América Latina; no entanto, após recentes prisões envolvendo operadores do Grandoreiro, o X-Force observou um aumento nas campanhas alcançando áreas fora da LATAM, incluindo TLDs da Espanha, Japão, Holanda e Itália. O X-Force observou uma campanha de phishing que se passava pelo South African Revenue Service (SARS), alegando ser da Divisão de serviços de assistência ao contribuinte. Provavelmente executada pelo mesmo operador, o X-Force também observou duas campanhas se passando pelo Serviço de Administração Fiscal do México. Os e-mails são escritos em inglês ou espanhol e têm o mesmo formato. Os e-mails fazem referência a um número de contribuinte e informam ao destinatário que estão recebendo uma fatura fiscal eletrônica que está em conformidade com os regulamentos estabelecidos pelo Serviço de Receitas da África do Sul ou de acordo com os regulamentos do Serviço de Administração Fiscal. O usuário recebe um link em PDF ou XML para visualizar a fatura, o que inicia um download de arquivo ZIP contendo o executável do carregador de Grandoreiro “SARS 35183372 eFiling 32900947.exe” (os dígitos variam entre as amostras).
Figuras 5, 6, 7: exemplo de e-mails se passado pelo SAT e SARS
Alinhado às campanhas anteriores, a cadeia de infecção do Grandoreiro começa com um carregador personalizado. Muitas vezes, o executável fica com um tamanho de mais de 100 MB para dificultar a verificação automática do antivírus. Na esperança de contornar a execução automatizada, ele exibe um pequeno pop-up CAPTCHA imitando o leitor Adobe PDF, que requer um clique para continuar com a execução.
Figura 8: CAPTCHA falso do leitor Adobe PDF do Grandoreiro
O carregador tem três tarefas principais:
Todas essas tarefas exigem mais de 120 strings importantes, que são criptografadas usando um algoritmo aprimorado.
Primeiro, o Grandoreiro começa gerando uma grande string de chave, que é codificada diretamente no código em Base64 três vezes. A chave observada nessas amostras começa com “D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…”. Em seguida, pega a string criptografada e usa uma decodificação personalizada para convertê-la em uma série de caracteres hexadecimais interpretados como bytes.
Figura 9: codificação hexadecimal personalizada do Grandoreiro (observe que codificações de caracteres não hexadecimais, como '"', nunca são usados)
O Grandoreiro descriptografa o resultado por meio do antigo algoritmo Grandoreiro usando a string de chave. Veja abaixo uma implementação em Python da rotina de descriptografia:
Por fim, passa por uma rodada final de descriptografia AES CBC de 256 bits e remoção de padding para recuperar a string de texto simples. Tanto a chave AES quanto o Vetor de Inicialização (IV) também são armazenados como strings criptografadas e devem ser descriptografados usando o mesmo algoritmo acima, no entanto, ignorando a descriptografia AES. O gráfico abaixo fornece uma visão geral do processo de descriptografia completo:
Figura 10: decodificação da string do carregador do Grandoreiro
Para verificar se uma vítima não faz parte de um ambiente sandbox, o carregador Grandoreiro coleta as seguintes informações e as compara com uma lista de valores predefinidos (ver Apêndice):
Essa etapa de verificação também é usada para não permitir vítimas de países específicos. Uma amostra não continuou a execução para infecções com IPs públicos em:
A amostra também impediu infecções em máquinas com Windows 7 localizadas nos EUA que não possuíam antivírus.
A próxima etapa de execução tenta criar um perfil básico da vítima para ser exibido no painel C2. O malware enumera as seguintes informações na máquina da vítima:
O Grandoreiro concatena os resultados usando a string "*~+" e os envia como parte da solicitação de carga útil criptografada para o servidor C2.
O servidor C2 do carregador do Grandoreiro pode ser descriptografado por meio do mesmo algoritmo explicado acima. O nome de domínio resultante é resolvido via DNS por HTTPS através da URL https://dns.google/resolve?name=<C2 server> para contornar bloqueios baseados em DNS. Após receber o endereço IP do C2, o malware pega os primeiros 4 dígitos do IP e executa quatro mapeamentos dígito a digito diferentes sobre eles, resultando no número de porta de 4 dígitos.
Em seguida, ele concatena a string de criação de perfil da vítima acima com uma mensagem em português em letras maiúsculas "CLIENT_SOLICITA_DDS_MDL" (provavelmente traduzida como "Cliente solicita dados do módulo"). Um exemplo da string seria:
A string é criptografada e enviada como caminho de URL por meio de uma solicitação HTTP GET para o servidor C2 que solicita a carga útil final do Grandoreiro.
Se bem-sucedido, o servidor C2 responde com um código de status HTTP 200 contendo outra mensagem criptografada. Contém as seguintes informações:
Exemplo:
Para fazer o download, o Grandoreiro faz outra solicitação HTTP GET para a URL de carga útil. O arquivo baixado é armazenado no nome do diretório especificado em "C:\ProgramData\". Em seguida, o arquivo é descriptografado por meio de um algoritmo baseado em RC4, usando a chave "7684223510". Por fim, ele é descompactado usando a biblioteca Delphi "ZipForge" e o arquivo originalmente baixado é excluído.
O arquivo pode conter dois arquivos, um .EXE (trojan bancário Grandoreiro) e um .CFG (arquivo de configuração).
Antes da execução, o carregador realiza uma enumeração dos membros do grupo do token do processo atual, verificando especificamente a presença do SID SECURITY_NT_AUTHORITY. Se o processo possuir os privilégios necessários, o carregador utiliza a função ShellExecuteW() com a palavra "runas" para executar a carga útil do Grandoreiro com privilégios elevados. Por outro lado, se os privilégios necessários não estiverem disponíveis, o carregador recorrerá à execução de si mesmo via ShellExecuteW() sem elevação.
Durante todos os estágios da infecção ‑ download da carga de trabalho, descriptografia e execução ‑ o carregador do Grandoreiro envia mensagens de status para o servidor C2. Alguns exemplos são:
A carga útil final é o trojan bancário Grandoreiro. A versão mais recente passou por grandes atualizações, principalmente nos algoritmos de descriptografia de strings e cálculo DGA. Também incluiu um grande número de aplicações bancárias globais para direcionar, dar suporte à execução e permitir que os invasores realizem fraudes bancárias em dezenas de países. Juntamente com um módulo de propagação especializado para o Outlook e uma ampla gama de funcionalidades, é um dos maiores trojans bancários conhecidos e a análise ainda está em andamento. As seções a seguir apresentam um olhar detalhado sobre as características mais notáveis do Grandoreiro, destacando seus recursos e funcionalidades essenciais.
O Grandoreiro começa estabelecendo a persistência por meio do registro do Windows. Ele executa o seguinte comando para criar uma nova chave de execução do registro e iniciar o malware no login do usuário:
Observe que o nome da chave pode diferir entre as amostras, mas geralmente está relacionado ao nome do arquivo original da carga útil baixada. Se o Grandoreiro não for executado em um processo elevado, a palavra “/runas” será omitida.
Além do arquivo .CFG, o Grandoreiro também cria um arquivo .XML no diretório C:\Public\. Ele é criptografado por meio da rotina de criptografia de strings do carregador e armazena o nome do arquivo executável do Grandoreiro, o caminho e a data de infecção.
Se o Grandoreiro não conseguir encontrar seu arquivo .CFG, preencherá um novo .CFG com valores padrão especificando quais funções do Grandoreiro estão habilitadas, o país da vítima e a data da infecção. O arquivo .CFG é criptografado via algoritmo de criptografia de string Grandoreiro explicado mais abaixo.
Os operadores do Grandoreiro atualizaram significativamente a lista de aplicações bancárias alvo, agora visando mais de 1.500 bancos em todo o mundo. As variantes mais recentes começam determinando se a vítima está na lista de países-alvo. Cada país também é mapeado para uma região maior, que o Grandoreiro usa para determinar quais pesquisas de string ele deve executar nas janelas ativas no momento. Isso significa que, se o país da vítima, por exemplo, for identificado como Bélgica, ele pesquisará todas as aplicações bancárias direcionadas associadas à região da Europa. O Grandoreiro mapeia internamente os países para as categories de região Europa, América do Norte, América Central, América do Sul, África, Indo-Pacífico e Ilhas Globais, com cada região tendo uma classe Delphi associada para procurar aplicações bancárias. Além disso, o Grandoreiro tem uma classe que pesquisa 266 strings únicas para identificar carteiras de criptomoedas, que é executada em cada infecção.
Figura 11: Grandoreiro iniciando uma nova thread com base na região do país detectado
O mapa de calor abaixo destaca o número de aplicações bancárias exclusivas associadas a cada país. Observe que cada aplicativo pode ser detectado com várias strings:
Figura 12: aplicações bancárias alvo do Grandoreiro por país (criadas usando o Datawrapper e preenchidas com informações da pesquisa da equipe X-Force)
O Grandoreiro tradicionalmente conta com domain generation algorithms (DGA) para calcular seu servidor C2 ativo com base na data atual. A mais nova iteração do Grandoreiro contém um algoritmo reformulado e o leva um passo adiante, introduzindo várias seeds para seu DGA. Essas seeds são usadas para calcular um domínio diferente para cada modo ou funcionalidade do trojan bancário, permitindo a separação de tarefas C2 entre vários operadores como parte de sua operação de Malware-as-a-Service. Cada amostra do Grandoreiro pode ter um valor inicial padrão principal, caso o arquivo de configuração esteja faltando, bem como uma lista de valores essenciais específicos da função. A amostra do X-Force analisada continha 14 seeds diferentes, levando a 14 possíveis domínios C2 a cada dia. Para explicar o algoritmo, calcularemos os domínios para a data de 17 de abril de 2024. O gráfico a seguir fornece uma visualização do algoritmo com uma explicação abaixo:
Figura 13: visualização DGA
Começando pelo domínio apex, o Grandoreiro possui um domínio mapeado para cada dia do ano. Existem dois desses mapeamentos, um para o C2 principal e outro para todos os C2s específicos da função. No entanto, dos 732 domínios apex, apenas 337 são exclusivos. Para o dia em questão, o apex primário é dnsfor[.]me e o secundário é neat-url[.]com.
Na próxima etapa, o Grandoreiro concatena a seed “xretsmzrb” (a seed principal) com o mês atual formatado em 2 dígitos, substituindo cada dígito por três caracteres fixos. Os dígitos "0" e "4" são substituídos por "oit" e "zia", respectivamente, resultando na string completa "xretsmzrboitzia".
Por fim, para cada dia do mês, o Grandoreiro possui um mapeamento personalizado de substituição de caracteres. No 17º dia, após executar todas as 26 substituições de caracteres iterativamente, a string final do subdomínio é “wondbbhonandhnd”.
Depois de calcular os domínios restantes para todas as seeds hardcoded, a lista de domínios C2 de 17 de abril de 2024 fica assim:
O X-Force conseguiu confirmar que pelo menos quatro dos domínios foram resolvidos naquele dia para IPs baseados no Brasil:
A porta do servidor C2 é calculada a partir dos primeiros quatro dígitos do endereço IP por meio de um mapeamento personalizado de dígito a dígito, assim como o carregador Grandoreiro. Consulte o Apêndice para ter acesso a uma lista completa de todos os domínios do Grandoreiro pré-calculados. Observe que o Grandoreiro troca as seeds com frequência. Algumas semanas após a infecção inicial, o X-Force observou que apenas o servidor principal de seed C2 permanecia ativo.
Uma pesquisa sobre a telemetria de DNS do X-Force no início de maio mostra que as infecções atuais estão localizadas principalmente na América Latina:
Figura 14: geolocalizações das infecções no início de maio
Depois de tentar resolver o DGA calculado, o Grandoreiro envia uma das várias mensagens de registro concatenadas com dados de enumeração e criptografadas, assim como o carregador do Grandoreiro. As seguintes mensagens podem ser enviadas com base em privilégios, AV instalado e domínios C2 ativos:
O Grandoreiro suporta um grande número de comandos diferentes, incluindo os seguintes:
O malware também suporta especificamente a abertura de URLs codificadas do Banco Banorte:
Além disso, permite a execução de comandos JavaScript no navegador para simular cliques em botões HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
Devido ao grande número de comandos diferentes e sua nomenclatura, a base de código do Grandoreiro parece conter comandos recém-adicionados, bem como funcionalidades legadas não mais utilizadas ativamente. O trojan bancário provavelmente está passando por ciclos de desenvolvimento frequentes para adicionar novas funcionalidades sem muita refatoração, contribuindo para o tamanho geral da base de código.
Uma das funcionalidades mais interessantes do Grandoreiro é a capacidade de se espalhar coletando dados do Outlook e usando a conta da vítima para enviar e-mails de spam. Existem pelo menos três mecanismos implementados no Grandoreiro para coletar e exfiltrar e-mails, cada um usando uma seed DGA diferente. Ao usar o Outlook para spam, o Grandoreiro pode se espalhar pelas caixas de entrada de vítimas infectadas via e-mail, o que provavelmente contribui para a grande quantidade de volume de spam observado no Grandoreiro.
No modo de coleta Outlook, o Grandoreiro alterna seu C2 para a seed DGA 7, que é usada para exfiltrar dados. O registro e as mensagens de status continuam para o servidor C2 principal. Por exemplo, antes de iniciar o processo de coleta, envia um log de volta contendo os mesmos dados de criação de perfil da vítima, bem como as strings "CLIENT_SOLICITA_DD_EMSOUT" (o cliente solicita dados EMSOUT) e "COLHENDO" (coleta).
Para interagir com o cliente Outlook local, o Grandoreiro usa a ferramenta Outlook Security Manager, um software usado para desenvolver complementos do Outlook. O principal motivo para isso é que o Outlook Object Model Guard dispara alertas de segurança se detectar acesso a objetos protegidos. O Outlook Security Manager permite que o Grandoreiro desative esses alertas durante as atividades de coleta e envio de spam. Dependendo da arquitetura do sistema, a ferramenta requer a DLL “secman.dll” ou “secman64.dll” para serem registrados como servidores COM. Em seguida, utiliza o MAPI para interagir com o Outlook.
O malware começa localizando a pasta raiz da caixa de entrada e, em seguida, itera recursivamente pelos itens de e-mail. Para cada e-mail, ele verifica a propriedade "SenderEmailAddress" e executa uma lista de bloqueio, para filtrar endereços de e-mail indesejados para coleta:
Os e-mails que não contêm nenhuma das sequências acima são agregados em um arquivo de texto, compactado em ZIP e exfiltrado.
Além do processo de coleta acima, o Grandoreiro também oferece suporte à adição de um arquivo PST ao Outlook, por meio da função Namespace.AddStore(). Outro mecanismo de coleta suportado percorre recursivamente o sistema de arquivos da vítima e verifica os arquivos em busca de e-mails. Arquivos com as seguintes extensões são abertos e verificados:
"*.txt", "*.csv", "*.html", "*.xml", "*.dat", "*.db", "*.sqlite", "*.xlsx", "*.xls", "*.xlsm", "*.dbf", "*.doc", "*.docx", "*.docm"
Para evitar varreduras desnecessárias, o Grandoreiro mantém ainda outra lista de bloqueio de caminhos que não devem ser verificados, excluindo diretórios comuns do sistema.
Para enviar e-mails de spam, o Grandoreiro utiliza modelos de phishing que recebe do seu servidor C2. Em seguida, ele percorre o modelo e preenche os campos de espaço reservado, como:
Pouco antes de começar a enviar um e-mail, o Grandoreiro inicia uma thread para detectar quaisquer caixas de diálogo que apareçam e fechá-las pressionando as teclas TAB e BARRA DE ESPAÇO de forma específica. Após o envio do e-mail, o malware apaga cuidadosamente seus rastros, deletando as mensagens enviadas da caixa de entrada da vítima. Além disso, para grande parte do comportamento de coleta e spam, o Grandoreiro garante que o último input na máquina infectada tenha sido há pelo menos 5 minutos (ou, em alguns casos, mais). Os desenvolvedores provavelmente queriam ter certeza de que as vítimas não perceberiam nenhum comportamento suspeito.
Durante o envio de spam, o Grandoreiro reporta as seguintes mensagens de status:
Como o Grandoreiro é um malware extremamente grande, ele requer uma quantidade enorme de strings, o que facilitaria muito a sua detecção se elas não fossem criptografadas. O Grandoreiro possui mais de 10 mil strings dispersas entre mais de uma centena de funções de carregamento de strings específicas para cada funcionalidade. O mecanismo de descriptografia difere ligeiramente da descriptografia de string do carregador:
Ele usa a mesma chave do Grandoreiro como carregador, que descriptografa por meio de sua criptografia personalizada e da chave "A". Após obter a chave, ele decodifica a string criptografada usando a mesma codificação do carregador e então descriptografa os bytes resultantes via modo ECB AES usando a implementação ElAES Pascal. A chave AES é uma versão embaralhada da chave do Grandoreiro descriptografada anteriormente. Depois de outra rodada de decodificação personalizada, a string é finalmente descriptografada por meio do antigo algoritmo Grandoreiro e da chave Grandoreiro.
Figura 15: descriptografia da string do trojan bancário Grandoreiro
O X-Force observou várias campanhas recentes de phishing que se passaram por entidades oficiais do governo para entregar o trojan bancário Grandoreiro. Os distribuidores do Grandoreiro geralmente têm como alvo usuários na América Latina; no entanto, desde a mais recente ação policial contra os operadores do Grandoreiro, o X-Force observou a disseminação do malware para além da América Latina, incluindo regiões da América Central e do Sul, África, Europa e Pacífico. As amostras de trojan bancário Grandoreiro que o X-Force analisou passaram por grandes atualizações dentro dos algoritmos de descriptografia de strings e cálculo de DGA. Essas amostras recém-analisadas agora incluem um grande número de pelo menos 1.500 aplicações bancárias globais alvo, que apoiam a execução e permitem que os invasores realizem fraudes bancárias em mais de 60 países. As atualizações feitas no malware, além do aumento significativo de aplicações bancárias em vários países, indicam que os distribuidores do Grandoreiro estão buscando realizar campanhas e distribuir malware em escala global.
Incentivamos as organizações que possam ser afetadas por essas campanhas a revisar as seguintes recomendações:
