De Amavaldo a Zumanek: uma análise de 12 trojans bancários latino‑americanos

Com este artigo, finalizamos a série na qual analisamos diferentes famílias de trojans bancários que têm como alvo a América Latina.

Com este artigo, finalizamos a série na qual analisamos diferentes famílias de trojans bancários que têm como alvo a América Latina.

A ESET iniciou essa série de artigos em agosto de 2019 com o objetivo de desmistificar os trojans bancários latino-americanos. Desde então, destacamos os mais ativos, tais como Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban e Numando. Os trojans bancários da América Latina compartilham muitas características e comportamentos, e esses vínculos em comuns foram abordados em um whitepaper produzido pela ESET. Portanto, ao longo da série nos enfocamos nas características únicas de cada família de malware para distingui-los uns dos outros.

Principais descobertas

  • Os trojans bancários latino-americanos são uma ameaça contínua e em evolução;
  • Essas ameaças visam principalmente o Brasil, a Espanha e o México;
  • Há pelo menos oito famílias de malware que ainda continuam ativas no momento de produção deste artigo;
  • Três famílias se tornaram inativas durante a publicação desta série, portanto não foram abordadas em nenhum artigo, mas, desta vez, descrevemos brevemente suas principais características;
  • A grande maioria é distribuída via malspam, geralmente incluindo um arquivo ZIP ou um instalador MSI.

Situação atual

Além de Amavaldo, que se tornou inativo por volta de novembro de 2020, todas as outras famílias ainda estão ativas atualmente. O Brasil continua sendo o país mais visado por essas famílias de trojans, seguido pela Espanha e México (ver Figura 1). Desde 2020, Grandoreiro e Mekotio se expandiram para a Europa, principalmente para a Espanha. O que começou como várias campanhas menores, provavelmente para testar o novo território, transformou-se em algo muito maior. De fato, em agosto e setembro de 2021, Grandoreiro lançou sua maior campanha até o momento, visando a Espanha (ver Figura 2).

Figura 1. Os três países mais afetados pelos trojans bancários latino-americanos.

Figura 2. Atividade dos trojans bancários latino-americanos na Espanha.

Enquanto Grandoreiro continua dominando na Espanha, Ousaban e Casbaneiro dominaram o Brasil nos últimos meses, como pode ser visto na Figura 3. Mispadu parece ter mudado seu foco quase exclusivamente para o México, ocasionalmente acompanhado por Casbaneiro e Grandoreiro, como também pode ser visto na Figura 4.

Figura 3. Atividade trojans bancários latino-americanos no Brasil.

Figura 4. Atividade trojans bancários latino-americanos no México.

Os trojans bancários latino-americanos costumavam ser atualizados com muita frequência. Durante os primeiros dias de nosso monitoramento, alguns deles adicionaram ou modificaram suas características principais várias vezes ao mês. Atualmente, eles ainda mudam com frequência, mas o núcleo parece permanecer quase intacto. Devido ao desenvolvimento parcialmente estabilizado, acreditamos que os operadores estão agora se concentrando em melhorar a distribuição da ameaça.

As campanhas que vemos sempre vêm em ondas e mais de 90% delas são distribuídas via malspam. Uma campanha geralmente dura, no máximo, uma semana. No terceiro e quarto trimestre de 2021, vimos que Grandoreiro, Ousaban e Casbaneiro aumentaram muito seu alcance em relação à sua atividade anterior, como pode ser visto na Figura 5.

Figura 5. Atividade trojans bancários latino-americanos em todo o mundo.

Impacto

Os trojans bancários latino-americanos precisam de muitas condições para serem bem sucedidos em seus ataques:

  • As vítimas em potencial têm que seguir certos passos necessários para instalar o malware em seus computadores;
  • As vítimas têm que visitar um dos sites visados pelos atacantes e fazer login em suas contas;
  • Os operadores têm que reagir a essa situação e instruir manualmente o malware para exibir a janela pop-up falsa e assumir o controle da máquina da vítima;
  • As vítimas não devem desconfiar da atividade maliciosa e possivelmente até ter que inserir um código de autenticação.

Portanto, é difícil estimar o impacto desses trojans bancários apenas com base na telemetria. Entretanto, em junho de 2021, pudemos ter uma ideia do impacto desses trojans quando as forças de segurança espanholas prenderam 16 pessoas ligadas ao Mekotio e Grandoreiro.

No relatório que publicaram, a polícia afirma que roubaram quase 300 mil euros e conseguiram bloquear transferências no total de 3,5 milhões de euros. Correlacionando essa prisão com o gráfico 2 que mostra a atividade do Grandoreiro e Mekotio, vemos que este último parece ter sofrido um golpe muito maior do que o Grandoreiro, o que nos leva a acreditar que os presos estavam mais intimamente ligados ao Mekotio. Embora o Mekotio tenha ficado muito quieto durante os dois meses que se seguiram à prisão, no momento de produção deste artigo, a ESET continua detectando novas campanhas que distribuem o Mekotio.

Para referência, em 2018, a polícia civil brasileira prendeu um criminoso acusado de ser o líder por trás de outro trojan bancário na Operação Ostentação. Eles estimaram que o criminoso tinha sido capaz de roubar aproximadamente R$ 400 milhões das vítimas no Brasil em 18 meses.

Famílias que não destacamos

Durante o curso de nossa série, vários trojans bancários latino-americanos ficaram inativos. Embora tivéssemos planejado um artigo para cada um deles, só iremos mencioná-los brevemente nas seções seguintes, pois eles estão inativos há mais de um ano. Também fornecemos Indicadores de Comprometimento (IoCs) para cada um deles no fim deste artigo.

Krachulka

Esta família de malware esteve ativa no Brasil até meados de 2019. Sua característica mais notável foi o uso de métodos criptográficos conhecidos para criptografar strings, ao contrário da maioria dos trojans bancários latino-americanos que geralmente usam esquemas de criptografia personalizados, alguns dos quais são compartilhados por essas famílias. Observamos variantes do Krachulka usando AES, RC2, RC4, 3DES e uma variante ligeiramente personalizada da Salsa20.

Krachulka, embora escrito em Delphi, como a maioria dos outros trojans bancários latino-americanos, foi distribuído através de um downloader escrito na linguagem de programação Go, o que representa outra característica única entre esse tipo de malware bancário (ver Figura 6).

Figura 6. Downloader do Krachulka escrito em Go.

Lokorrito

Esta família de malware esteve ativa principalmente no México até o início de 2020. Fomos capazes de identificar versões adicionais, cada uma dedicada a um país diferente: Brasil, Chile e Colômbia.

A característica mais identificadora do Lokorrito é o uso de uma string User-Agent na comunicação de rede (ver Figura 7). Observamos dois valores – LA CONCHA DE TU MADRE y 4RR0B4R 4 X0T4 D4 TU4 M4E, ambas expressões bastante vulgares no espanhol do río de la plata e no Brasil.

Figura 7. User-Agent Lokorrito.

Identificamos vários módulos adicionais relacionados ao Lokorrito. Primeiro, um backdoor, que basicamente funciona como uma versão simplificada do trojan bancário sem o suporte das falsas janelas sobrepostas. Acreditamos que ele foi instalado pela primeira vez em algumas campanhas do Lokorrito e, somente se o atacante achasse conveniente, foi atualizado para o atual trojan bancário. Em seguida, uma ferramenta de spam que gera e-mails de spam distribuía o Lokorrito e o enviava para mais vítimas potenciais. A ferramenta gerou os e-mails com base em dados codificados e dados obtidos de um servidor C&C. Por último, identificamos um simples infostealer projetado para roubar o livro de endereços do Outlook da vítima e um ladrão de senhas projetado para colher as credenciais do Outlook e FileZilla.

Zumanek

Esta família de malware esteve ativa exclusivamente no Brasil até meados de 2020. Foi a primeira família de trojans bancários latino-americanos que a ESET identificou. De fato, a ESET analisou uma variante em 2018.

Zumanek é identificado por seu método de ofuscação de strings. Ele cria uma função para cada um dos caracteres do alfabeto e depois concatena o resultado de chamar as funções corretas em sequência, como ilustrado na Figura 8.

Figura 8. Técnica de obfuscação de strings do Zumanek.

Curiosamente, Zumanek nunca utilizou nenhum método complicado para a execução do payload. Seus downloaders simplesmente baixavam um arquivo ZIP contendo apenas o executável do trojan bancário, normalmente chamado drive2. O executável era normalmente protegido pelo empacotador VMProtect ou pelo Armadillo.

Acreditamos, embora com pouca confiança, que Ousaban pode realmente ser o sucessor do Zumanek. Embora as duas famílias de malware não pareçam compartilhar nenhuma semelhança de código, seu formato de configuração remota usa delimitadores muito semelhantes (ver Figura 9). Além disso, observamos vários servidores utilizados pelo Ousaban que se assemelham muito aos utilizados anteriormente pelo Zumanek.

Figura 9: Similaridades entre os formatos de configuração remota do Zumanek e Ousaban.

O futuro

Desde que os trojans bancários latino-americanos se espalharam pela Europa, eles têm recebido mais atenção, tanto dos pesquisadores quanto das autoridades policiais. Nos últimos meses, vimos algumas de suas maiores campanhas até o momento.

Os pesquisadores da ESET também descobriram o Janeleiro, um trojan bancário latino-americano escrito em .NET. Além disso, podemos ver alguns desses trojans bancários se expandindo para a plataforma Android. Na verdade, um desses trojans bancários, o Ghimob, já foi atribuído ao cibercriminoso por trás do Guildma. Entretanto, como continuamos vendo que os desenvolvedores melhoram ativamente seus binários Delphi, acreditamos que eles não irão abandonar seu arsenal atual.

Embora a implementação de muitos trojans bancários latino-americanos seja um tanto incômoda e complicada, eles representam uma abordagem diferente para atacar as contas bancárias das vítimas. Ao contrário dos trojans bancários mais conhecidos anteriormente, eles não usam injeção no navegador, nem precisam encontrar uma maneira de realizar webinject no site de um determinado banco. Em vez disso, eles projetam uma janela pop-up – provavelmente um processo muito mais rápido e simples. Os operadores por trás da ameaça já têm à sua disposição modelos que eles facilmente modificam para uma lista de diferentes instituições financeiras (ver Figura 10). Essa é a principal vantagem dessas ameaças.

Figura 10. Modelos de janelas pop-up falsas.

A principal desvantagem é que há pouca ou nenhuma automatização no processo de ataque – sem o envolvimento ativo do atacante, o trojan bancário quase não causará prejuízos. A questão para o futuro é se algum novo malware tentará automatizar essa abordagem.

Conclusão

Em nossa série apresentamos os trojans bancários latino-americanos mais ativos nos últimos anos. Identificamos uma dúzia de diferentes famílias de malware, a maioria das quais ainda está ativa no momento em que escrevemos este artigo. Identificamos suas características únicas, assim como seus muitos pontos em comum.

A descoberta mais significativa no decorrer de nossa série é provavelmente a expansão do Mekotio e Grandoreiro na Europa. Além da Espanha, observamos pequenas campanhas visando a Itália, França e Bélgica. Acreditamos que esses trojans bancários continuarão testando novos territórios para futura expansão das ameaças.

Nossa telemetria mostra um aumento impressionante no alcance do Ousaban, Grandoreiro e Casbaneiro nos últimos meses, levando-nos a concluir que os cibercriminosos por trás dessas famílias de malware estão determinados a continuar suas ações nefastas contra os usuários nos países alvo. A ESET continuará rastreando esses trojans bancários e manterá os usuários protegidos contra essas ameaças.

Se você tiver alguma dúvida, entre em contato conosco pelo e-mail threatintel@eset.com. Os indicadores de comprometimento para todas as famílias de malware mencionadas também podem ser encontrados em nosso repositório do GitHub.

Indicadores de Comprometimento (IoC)

Hashes

Krachulka

SHA-1DescriptionESET detection name
83BCD611F0FD4D7D06C709BC5E26EB7D4CDF8D01Krachulka banking trojanWin32/Spy.Krachulka.C
FFE131ADD40628B5CF82EC4655518D47D2AB7A28Krachulka banking trojanWin32/Spy.Krachulka.C
4484CE3014627F8E2BB7129632D5A011CF0E9A2AKrachulka banking trojanWin32/Spy.Krachulka.A
20116A5F01439F669FD4BF77AFEB7EFE6B2175F3Krachulka Go downloaderWin32/TrojanDownloader.Banload.YJA

Lokorrito

SHA-1DescriptionESET detection name
4249AA03E0F5142821DB2F1A769F3FE3DB63BE54Lokorrito banking trojanWin32/Spy.Lokorrito.L
D30F968741D4023CD8DAF716C78510C99A532627Lokorrito banking trojanWin32/Spy.Lokorrito.A
6837d826fbff3d81b0def4282d306df2ef59e14aLokorrito banking trojanWin32/Spy.Lokorrito.L
2F8F70220A9ABDCAA0868D274448A9A5819A3EBCLokorrito backdoor moduleWin32/Spy.Lokorrito.S
0066035B7191ABB4DEEF99928C5ED4E232428A0DLokorrito backdoor moduleWin32/Spy.Lokorrito.R
B29BB5DB1237A3D74F9E88FE228BE5A463E2DFA4Lokorrito backdoor moduleWin32/Spy.Lokorrito.M
119DC4233DF7B6A44DEC964A084F447553FACA46Spam toolWin32/SpamTool.Agent.NGO
16C877179ADC8D5BFD516B5C42BF9D0809BD0BAEPassword stealerWin32/Spy.Banker.ADVQ
072932392CC0C2913840F494380EA21A8257262COutlook infostealerWin32/Spy.Agent.PSN

Zumanek

SHA-1DescriptionESET detection name
69FD64C9E8638E463294D42B7C0EFE249D29C27EZumanek banking trojanWin32/Spy.Zumanek.DO
59C955C227B83413B4BDF01F7D4090D249408DF2Zumanek banking trojanWin32/Spy.Zumanek.DK
4E49D878B13E475286C59917CC63DB1FA3341C78Zumanek banking trojanWin32/Spy.Zumanek.DK
2850B7A4E6695B89B81F1F891A48A3D34EF18636Zumanek downloader (MSI)Win32/Spy.Zumanek.DN
C936C3A661503BD9813CB48AD725A99173626AAEZumanek downloader (MSI)Win32/Spy.Zumanek.DM

Técnicas do MITRE ATT&CK

Criamos uma tabela MITRE ATT&CK mostrando uma comparação das técnicas utilizadas pelos trojans bancários latino-americanos apresentados em nossa série. Foi publicado como parte de nosso whitepaper focado em examinar as muitas semelhanças entre estes trojans bancários e pode ser encontrado aqui.

Newsletter

Discussão