Grandoreiro, el malware que viajó de Brasil a España en busca de datos bancarios

Brasil, que ha aumentado considerablemente el uso de la banca online en los últimos años, lleva mucho tiempo siendo objeto de malware bancario, en diferentes variedades, pero con un antepasado común escrito en Delphi, con código fuente reutilizado y modificado numerosas veces. Esa base ha dado pie a diferentes malwares como Javali, Cabeniero, Mekotio o Grandoneiro. Esta cepa es una de las que todavía sigue en desarrollo activo, utilizada por el grupo TA2725.

Como señala Proofpoint, Grandoneiro puede “robar datos e información de acceso bancario a través de keyloggers y screen-grabbers, así como de superposiciones cuando una víctima infectada visita sitios bancarios”. El malware llega a través de un enlace integrado en un mail que suplanta a una empresa legítima, con señuelos como documentos compartidos, formularios o facturas. Al hacer clic en el enlace se descarga un zip que lleva la carga del malware.

Hasta ahora, esta cepa había sido detectada en Brasil y México, así como en otros puntos de América con menos intensidad. Pero Proofpoint, que lleva tiempo rastreando esta variante, ha detectado que en las campañas recientes de TA2725 incluyó simultáneamente bancos mexicanos y españoles, sin necesidad de hacer modificaciones en el malware. Algo fuera de los normal, pues normalmente los equipos de ciberdelincuentes extranjeros utilizan un malware más genérico o campañas adaptadas a España.

El equipo de investigación de Proofpoint indica que “dado el rápido desarrollo del malware y la tenacidad de los ciberdelincuentes latinoamericanos, esperamos que estos aumenten sus objetivos en otras regiones, especialmente en España ya que comparten el mismo idioma. A medida que la cadena de suministro se vuelve más global y que las organizaciones dependen cada vez más de proveedores de otros países, los ataques desde otras partes del mundo también se volverán más frecuentes”.