Novo malware bancário volta ao ativo depois de ser desmantelado pelas autoridades

Publicado em por

Novo malware bancário volta ao ativo depois de ser desmantelado pelas autoridades

Um novo trojan, conhecido como “Grandoreiro”, tem vindo a ganhar bastante destaque, espalhando-se para mais de 60 países e com foco em roubar dados de acesso a mais de 1500 bancos online.

Este trojan parece ser a continuação de uma campanha que foi recentemente desmantelada pelas autoridades. Em janeiro de 2024, várias forças de segurança do Brasil, Espanha e vários outros países europeus confirmaram ter desmantelado uma rede de malware, focada sobretudo a Espanha, que tinha vindo a afetar os utilizadores desde 2017 e levou a mais de 120 milhões de dólares em perdas.

A rede operava uma botnet, focada em roubar credenciais de acesso a várias plataformas bancárias, das quais eram depois usadas para roubar fundos das vítimas, ou para realizar a lavagem de dinheiro e pagamentos fraudulentos.

Embora esta rede tenha sido desmantelada, a empresa de segurança X-Force afirma que se verificou ao retorno da mesma com um novo nome, “Grandoreiro”. Esta parece ter começado as atividades em março de 2024, usando um formato de Malware-as-a-Service (MaaS). O mesmo alargou-se ainda para afetar outros países além apenas de Espanha, sendo que agora também existem relatos de o mesmo ter afetado utilizadores em Portugal.

exemplo de email malicioso enviado para vítimas

O esquema começa com as vítimas a receberem um email contendo falsas informações, sobre alegadas coimas ou pagamentos em atraso, e onde necessitam de aceder a um link para regularizar a situação. Na maioria dos casos, este link direciona para falsos ficheiros PDF, que procedem com a instalação de malware nos sistemas.

Com este malware instalado no sistema, este tenta recolher o máximo de dados possíveis das vítimas, bem como os dados de acesso às suas entidades bancárias. Caso os mesmos tenham carteiras de criptomoedas nos seus sistemas, tenta-se proceder ainda ao roubo dos fundos nas mesmas.

O malware tenta ainda manter-se no sistema, criando entradas de registo para voltar a instalar-se caso seja removido por algum motivo. Curiosamente, o malware encontra-se criado para não correr em alguns países, como a Rússia e Polónia.

Como sempre, é recomendado que se tenha atenção aos locais de onde se acede para descarregar conteúdo, garantindo que é de fontes legítimas.