Points clés du rapport :
  • ESET a travaillé aux côtés de la police fédérale du Brésil pour perturber le botnet Grandoreiro.
  • ESET a contribué au projet en fournissant des analyses techniques, des informations statistiques, des noms de domaine et des adresses IP de serveur de commande et de contrôle (C&C).
  • Cette opération de démantèlement visait des personnes soupçonnées d'être à la tête de la hiérarchie opérationnelle de Grandoreiro.
  • Une enquête plus approfondie menée par la police fédérale du Brésil a conduit à l'identification et à l'arrestation des personnes contrôlant le botnet.
  • Grandoreiro est actif depuis au moins 2017.
  • Grandoreiro cible le Brésil, le Mexique, l'Espagne et l'Argentine.
  • Grandoreiro peut bloquer l'écran d'une victime, enregistrer les frappes au clavier, simuler l'activité de la souris et du clavier, partager l'écran de la victime et afficher de fausses fenêtres contextuelles.

ESET a collaboré avec la police fédérale du Brésil pour démanteler le botnet Grandoreiro. Nous avons contribué au projet en fournissant des analyses techniques, des informations statistiques, des noms de domaine et des adresses IP de serveur de commande et de contrôle (C&C). En raison d'un défaut de conception dans le protocole réseau de Grandoreiro, les chercheurs d'ESET ont également pu avoir un aperçu de la victimologie du botnet.

Cette opération visait des personnes soupçonnées d'être haut placées dans la hiérarchie opérationnelle de Grandoreiro. L'enquête menée par la police fédérale brésilienne a conduit à plusieurs arrestations. Les chercheurs d'ESET ont fourni des données cruciales pour identifier les comptes responsables de la configuration et de la connexion aux serveurs C&C de Grandoreiro.

Grandoreiro est l'un des nombreux chevaux de Troie bancaires d'Amérique latine. Il est actif depuis au moins 2017 et les chercheurs d'ESET le suivent de près depuis sa création. Grandoreiro vise le Brésil, le Mexique, l'Espagne et, depuis 2023 l'Argentine.

Si en termes de fonctionnalités Grandoreiro n'a pas beaucoup évolué depuis le dernier article de blog d'ESET Research sur le groupe en 2020, Grandoreiro a connu un développement rapide et constant. Nous avons même observé plusieurs nouvelles compilations par semaine. On note une nouvelle version en moyenne tous les quatre jours entre février 2022 et juin 2022.

L'opérateur doit toujours interagir manuellement avec la machine compromise afin de voler l'argent d'une victime. Le logiciel malveillant permet les actions suivantes :

  • Blocage des écrans des victimes
  • Enregistrement des frappes au clavier
  • Simulation de l'activité de la souris et du clavier
  • Partage de l'écran ou des écrans des victimes
  • Affichage de fausses fenêtres pop-up

La structure de son protocole réseau du botnet Grandoreiro a permis aux chercheurs d'ESET d’avoir accès aux coulisses de son fonctionnement. ESET a ainsi eu un aperçu de la victimologie. Les serveurs C&C de Grandoreiro fournissent des informations sur les victimes connectées. En examinant ces données pendant plus d'un an, nous concluons que 66 % étaient des utilisateurs de Windows 10, 13 % utilisaient Windows 7, Windows 8 représentait 12 % et 9 % étaient des utilisateurs de Windows 11. Étant donné que la répartition géographique des victimes de Grandoreiro est peu fiable, nous nous référons à la télémétrie ESET : l'Espagne représente 65 % de toutes les victimes, suivie du Mexique avec 14 %, du Brésil avec 7 % et de l'Argentine avec 5 % ; les 9 % restants se trouvent dans d'autres pays d'Amérique latine. Nous notons également qu'en 2023, nous avons constaté une baisse significative de l'activité de Grandoreiro en Espagne, compensée par une augmentation des campagnes au Mexique et en Argentine.

Découvrez l’intégralité de cette recherche en anglais : ESET takes part in global operation to disrupt the Grandoreiro banking trojan