El malware bancario Grandoreiro ataca a usuarios españoles

Investigadores de IBM X-Force advierten sobre un ataque de malware de superposición remota que aprovecha un complemento falso del navegador Chrome para dirigirse a las cuentas de clientes bancarios en España. El malware Grandoreiro, en el corazón de este ataque, se conoce por atacar a clientes bancarios en Brasil, por lo que este último ataque muestra que sus operadores se están expandiendo a nuevos países.

Recomendados:  WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro  WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

Grandoreiro es un tipo de troyano bancario de superposición remota, diseñado para ayudar a los atacantes a acceder a dispositivos y mostrar una imagen de superposición de pantalla completa cuando la víctima accede a su cuenta bancaria online. En el fondo, mientras tanto, el atacante inicia una transferencia de dinero fraudulenta desde la cuenta comprometida.

La campaña, descubierta ya en febrero de 2020, utiliza videos con temas de coronavirus, enviados a través de mensajes de spam, para engañar a los usuarios y que hagan clic en una URL que los lleva a un sitio web, señalan los investigadores de IBM X-Force. En ese sitio, las víctimas son persuadidas para descargar un archivo .MSI desde un repositorio de Github, que en realidad es el cargador de malware. La carga útil de Grandoreiro se obtiene a través de una URL codificada dentro del código del cargador.

Después de la descarga, Grandoreiro establece una conexión con su servidor de comando y control, que según los investigadores permite que el malware envíe notificaciones sobre información de la máquina y facilite las capacidades de acceso remoto al atacante cuando una víctima accede a un sitio bancario.

Una técnica única utilizada por los operadores de Grandoreiro es la descarga de una extensión maliciosa para el navegador Google Chrome. Esta extensión pretende ser una "Plugin de Google" versión 1.5.0. Y se agrega como un botón visualmente cuadrado a la ventana del navegador. La extensión solicita a las víctimas varios permisos, incluida la lectura del historial de los navegadores, la visualización de notificaciones, la modificación de datos copiados y pegados, y más.

"Sospechamos que el malware usa esta extensión para capturar las cookies de la víctima y usarlas desde otro dispositivo para montar la sesión activa de la víctima", apuntan los investigadores. "Con este método, el atacante no necesitará continuar controlando la máquina de la víctima".

Una vez activo en el dispositivo infectado, Grandoreiro espera en segundo plano a que la víctima tome una acción que lo desencadene, como navegar al sitio web de un banco objetivo. Cuando eso sucede, el atacante invoca la función de acceso remoto del malware y lanza imágenes maliciosas (de la interfaz de los bancos objetivo) en la pantalla de las víctimas, engañándolas para mantener activa la sesión y subiendo información (como credenciales, etc.). De fondo, el atacante puede iniciar una transferencia fraudulenta para drenar la cuenta de las víctimas, sin activar ninguna señal de alerta en los bancos.