Nueva oleada de troyanos brasileños contra usuarios españoles

Recomendados:  España Digital 2025 Leer  La persistencia del ransomware Webinar

En lo que va de año, diferentes especialistas en ciberseguridad han alertado sobre las campañas llevadas a cabo por los troyanos bancarios brasileños, y Eset ha advertido de que su impacto se ha incrementado en los últimos días. En un comunicado, la firma asegura que Grandoreiro y Mekotio, dos de los más conocidos, siguen su actividad en España con mensajes que suplantan a la Agencia Tributaria, a Vodafone o, incluso, al Ministerio de Trabajo.

Una de las amenazas que más impacto ha tenido desde hace meses entre usuarios españoles ha sido, sin duda alguna, la del troyano bancario brasileño Grandoeiro. Esta amenaza, junto con otras similares provenientes de la misma región, se ha convertido en un serio peligro para aquellos usuarios que utilizan sus ordenadores para realizar operaciones con servicios de banca online, y especialmente entre aquellos que han empezado a usarlos hace poco debido a la situación de confinamiento que se impuso por la pandemia provocada por la COVID-19.

Según explica Eset, su laboratorio detectó la semana pasada numerosos correos, supuestamente de organismos como la Agencia Tributaria, propagando esta amenaza. Los delincuentes han aprovechado la misma plantilla para suplantar la identidad de Vodafone, incluyendo un enlace desde donde se descarga la misma muestra que en el caso del falso correo de la Agencia Tributaria. Los dominios usados para redirigir a la descarga del malware han sido registrados en las últimas horas desde Brasil, país de procedencia de estas amenazas, tanto en el caso del correo de la Agencia Tributaria como en el de Vodafone. El envío de estos correos con poco margen de tiempo entre ellos puede deberse a una estrategia por intentar conseguir el mayor número de víctimas posible, usando dos temáticas completamente diferentes.

Grandoreiro no ha sido el único troyano bancario brasileño que se ha estado propagando con intensidad durante las últimas horas en España. También lo ha hecho Mekotio, que ha utilizado la misma plantilla suplantando a la Agencia Tributaria.

De acuerdo con Eset, la cadena de infección actual de Mekotio se distingue de la de Grandoreiro en que los delincuentes descargan diferentes instaladores del malware dependiendo de si el sistema es de 32 o de 64 bits. El uso del lenguaje AutoHotkey por parte de los desarrolladores de esta amenaza es algo que se ha utilizado desde hace unas semanas y que supone un rasgo característico de Mekotio que lo diferencia de otras amenazas similares. Además del correo suplantando a la Agencia Tributaria, Mekotio también ha usado en las últimas horas otra plantilla que fue usada recientemente por Grandoreiro y que suplanta al Ministerio de Trabajo español.

Para la firma, como explica Josep Albors, su responsable de concienciación e investigación en España, “el hecho de que tanto Grandoreiro como Mekotio estén centrándose en atacar usuarios en España, dejando de lado a otras posibles víctimas ubicadas en otros países, demuestra que están obteniendo un éxito notable en nuestro país. Además, que ambos grupos de delincuentes compartan plantillas y algunas técnicas de ataque y scripts demuestra que existe una colaboración intensa entre ellos”.

Como recomendación, recuerda que es conveniente que los usuarios revisen los correos que reciben con cuidado, evitando pulsar sobre enlaces o abrir ficheros no solicitados y acudiendo siempre a la web oficial de la empresa u organismo público para resolver posibles dudas, además de contar con un antivirus actualizado que sea capaz de detectar y eliminar estas y muchas otras amenazas.