Análise Técnica: A Mutação do Grandoreiro em Novembro de 2025
Pesquisadores de segurança da ESET e da Kaspersky emitiram um alerta conjunto neste fim de semana sobre uma nova e perigosa variante do banking trojan Grandoreiro, detectada massivamente durante o rescaldo da Black Friday no Brasil. Esta campanha marca uma evolução técnica alarmante: o malware agora possui módulos capazes de burlar verificações de “prova de vida” (biometria facial) usadas por aplicativos bancários, focando especificamente em transações Pix de alto valor.
Vetor de Infecção e Cadeia de Ataque
A infecção primária continua ocorrendo via Spear Phishing. E-mails com o assunto “Nota Fiscal Eletrônica pendente” ou “Rastreamento de Entrega Black Friday” contêm um link para um arquivo ZIP. Dentro deste arquivo, uma cadeia de execução complexa é iniciada:
- Loader: Um pequeno executável disfarçado (frequentemente assinado com certificados digitais roubados) é executado.
- Downloader: O loader baixa a carga principal (payload) criptografada de serviços de nuvem legítimos (como Google Drive ou Azure), dificultando o bloqueio por firewall.
- DLL Hijacking: O malware utiliza uma técnica de injeção de DLL em processos legítimos do Windows para garantir persistência e evadir a detecção de antivírus tradicionais.
A Burlagem da Biometria e o Roubo do Pix
O diferencial desta variante é o uso de técnicas de Man-in-the-Browser aprimoradas. Quando a vítima acessa o internet banking, o Grandoreiro exibe uma tela de sobreposição (overlay) idêntica à do banco, solicitando a senha. Simultaneamente, se o banco solicitar validação biométrica via QR Code no celular, o malware intercepta a comunicação.
Relatórios técnicos indicam que os criminosos estão utilizando Deepfakes estáticos ou injeção de vídeo pré-gravado para enganar os algoritmos de biometria mais simples. Uma vez autenticado, o script automatiza a transferência Pix em segundos, limpando o saldo da conta antes que o usuário perceba a fraude.
Recomendações de Segurança (IOCs e Mitigação)
Para equipes de SOC e Blue Teams, é crucial monitorar conexões de saída para domínios DGA (Domain Generation Algorithm) atípicos. No nível do endpoint, recomenda-se a configuração de regras de bloqueio para execução de arquivos .exe ou .dll a partir das pastas AppData e Temp.
Para o usuário final, a recomendação é clara: nunca clique em links de rastreamento de encomendas que não foram solicitados e desconfie de processos bancários que peçam atualizações urgentes de segurança. O uso de um segundo dispositivo dedicado apenas para operações financeiras (sem e-mail ou apps de mensagens) é uma prática recomendada para tesourarias corporativas.
Faça um comentário