Grandoreiro es un troyano bancario brasilero que amenaza la ciberseguridad de los españoles, a pesar de las operaciones policiales y el regreso de la familia de este malware a su país de origen.
Josep Albors ha informado que estos actores maliciosos han estado muy activos durante el 2020 y buena parte de 2021, lo que sigue preocupando a los investigadores de seguridad cibernética.
De hecho, el responsable de Sensibilización e Investigación de Ontinet (ESET España) ha informado la detección reciente de un email donde los delincuentes usan el asunto de una factura pendiente de pago para tratar de engañar a sus víctimas.
“Sin embargo, y a diferencia de otras campañas anteriores, en esta ocasión no se han esmerado demasiado en hacer que el correo resulte demasiado convincente”.
Albors ha confirmado que revisaron el contenido y verificaron que el remitente utiliza una cuenta brasileña de correo electrónico, lo que debería causar suspicacia a primera impresión.
El mensaje solo indica una cantidad pendiente por cobrar y un enlace donde supuestamente se descargaría la falsa factura. “Si nos fijamos en este enlace en lugar de pulsarlo, observaremos que apunta a un servicio acortador de enlaces para no revelar a dónde quieren redirigirnos”.
Se ha detectado que la víctima, en caso de hacer clic sobre el enlace, es redirigida a una URL del servicio Azure de Microsoft que se ha usado por ciberdelincuentes para alojar el fichero malicioso con la primera fase de este ataque; esto se descarga en el sistema y queda a la espera de su ejecución.
Si se revisa detalladamente este fichero comprimido en ZIP se notará que esconde un fichero en formato ejecutable MSI, el mismo que actúa como un descargador cuando se ejecuta.
En ese momento se contacta con otra URL, también controlada por los delincuentes informáticos, mediante el cual descarga el payload (carga útil) responsable de ejecutar las funciones de troyano bancario en el sistema de la víctima.
Recomendaciones de ciberseguridad
Albors ha publicado que la descarga de Grandoreiro, la única familia de troyanos bancarios con usuarios españoles como objetivos, puede ser detectada si la víctima cuenta con una solución de ciberseguridad en el sistema.
Indicó que este malware ha tenido un repunte muy importante de su actividad desde mediados de julio y que otras familias de troyanos bancarios nativos de Latinoamérica, como Mekotio, Casbaneiro o Mispadu, han regresado a su región de origen.
“Esto no significa que no volveremos a ver campañas de estas familias de troyanos bancarios dirigidas a usuarios españoles, puesto que si algo hemos aprendido tras analizar un elevado número de muestras, es que los delincuentes no dejan de adaptarse y de centrarse allá donde puedan obtener un beneficio económico”.
En todo caso, el investigador de seguridad cibernética ha recomendado permanecer alerta por si vuelven a producirse, contando con una solución de ciberseguridad que ayude a detectarlas.