ESET
continúa con sus investigaciones sobre Grandoreiro, un troyano que aprovecha de
la situación de pandemia mundial y afecta principalmente a usuarios de España,
Brasil, México y Perú.
Distribuido
principalmente a través de correos electrónicos con supuestas facturas o que
solicitan actualizar Flash o Java, Grandoreiro ha empezado ahora a aprovecharse
de webs falsas para sacarle partido a la necesidad de información de los
ciudadanos sobre la pandemia que ha causado el COVID-19. En esta ocasión, los
ciberdelincuentes utilizan la imagen de compañías eléctricas como Iberdrola o
Lucera como gancho de su campaña: las posibles víctimas reciben un correo
electrónico con una supuesta deuda pendiente de pago. Si el usuario que recibe
este email pulsa sobre el enlace, será redirigido a un dominio creado recientemente
por los delincuentes y que solicita la apertura o descarga de un sospechoso
archivo comprimido que lanza una supuesta aplicación para visualizar la
factura.
En las
últimas investigaciones detectadas, investigadores de ESET también han encontrado
que los ciberdelincuentes están utilizando enlaces a supuestos vídeos desde los
que se descargan archivos maliciosos en el dispositivo de la víctima.
Grandoreiro
ha estado activo desde al menos 2017 en Brasil y Perú, pero en 2019 se expandió
a España y a México. Este troyano es capaz de mostrar y manipular ventanas
emergentes, actualizarse automáticamente, capturar pulsaciones de teclado,
simular acciones de ratón y de teclado, usar los navegadores de Internet para
acceder a URLs de su elección, cerrar sesiones, reiniciar máquinas y bloquear
el acceso a algunas webs, entre otros. Además, recopila información de los
sistemas infectados y en algunas versiones incluso roba las credenciales
almacenadas en Google Chrome y datos de Microsoft Outlook.
Alcance de Grandoreiro (ilustración: ESET)
“Para
tratarse de un troyano bancario típico de los que se suelen encontrar en
Latinoamérica, Grandoreiro utiliza una sorprendente cantidad de técnicas para
evitar la detección, entre las que se incluyen la capacidad de detectar y
desactivar software de protección bancaria”, afirma Robert Šuman, responsable
del equipo de investigación sobre Grandoreiro en ESET. “Parece que desarrollan
el troyano muy rápidamente y cada nueva versión incluye mejoras y cambios.
Creemos que se están desarrollando dos variantes a la vez. Desde el punto de
vista técnico utilizan una aplicación muy específica de relleno que hace muy complicado
eliminar dicho relleno mientras se mantiene la funcionalidad del archivo
válido”.
Al contrario
que la mayoría de los troyanos bancarios en Latinoamérica, Grandoreiro se
aprovecha de cadenas de distribución muy pequeñas y en cada campaña utiliza un
descargador diferente, aunque siempre desde sitios públicos muy conocidos como
GitHub, Dropbox, Mediafire, Pastebin, 4shared o 4Sync.
ESET ya
informó a mediados del mes de abril de un incremento en los envíos de phishing
con Grandoreiro, en concreto con facturas falsas de la compañía eléctrica
Lucera. El correo que recibían las potenciales víctimas estaba redactado
pobremente e incluía un enlace y el nombre del supuesto gerente comercial,
además del remitente y el asunto. Con la nueva campaña lanzada en nombre de
Iberdrola los delincuentes posiblemente estén intentando ampliar el número de
posibles víctimas.
Fuente: DiarioTI
Ilustración:
Charles de Luvio vía Unsplash
No hay comentarios:
Publicar un comentario