Nueva campaña del troyano Grandoreiro con una factura vencida como gancho

  • Actualidad

Procedente de una cuenta de email brasileña, el mensaje contiene un enlace para descargar la supuesta factura. Grandoreiro es la única familia de troyanos bancarios que aún tiene a usuarios españoles entre sus objetivos, con un repunte de su actividad notable desde mediados de julio.

Recomendados: 

Atención pública al ciudadano: hacia una relación de 360 grados Evento

Identificación de ataques web Leer

La actividad de algunas familias de troyanos bancarios brasileños en España sigue presente, a pesar de las operaciones policiales realizadas y el regreso a sus países de origen de algunas familias de este malware. En este sentido, ESET ha descubierto una nueva campaña que se atribuye al troyano bancario Grandoreiro. Se trata de un email en el que los delincuentes tratan de utilizar de nuevo el asunto de una factura pendiente de pago para tratar de engañar a sus víctimas.

Enviado desde una cuenta de email brasileña, el asunto y el cuerpo del mensaje solo indica que existe una cantidad pendiente de cobro, con un enlace para descargar la supuesta factura, el cual apunta a un servicio acortador de enlaces para no revelar a dónde quieren redirigirnos. En caso de pulsar sobre este enlace, la víctima es redirigida a una URL que se corresponde con el servicio Azure de Microsoft, usado por los delincuentes para alojar el fichero malicioso que compone la primera fase de este.

El fichero comprimido en formato ZIP esconde un fichero en el formato ejecutable MSI, que actúa como un descargador cuando se ejecuta, contactando con otra URL controlada por los delincuentes para descargar el payload responsable de ejecutar las funciones de troyano bancario en el sistema de la víctima. Tanto la descarga original del fichero ZIP como esta descarga del malware de segunda fase pueden ser detectadas si se cuenta con una solución de seguridad instalada en el sistema que reconozca estas amenazas y evite que se descarguen y ejecuten en el sistema. El payload descargado en la segunda fase es detectado por las soluciones de ESET como el troyano bancario Win32/Spy.Grandoreiro.AE.

“Esta campaña del troyano bancario Grandoreiro demuestra que los delincuentes detrás de estas amenazas siguen interesados en atacar a usuarios de nuestro país”, asegura Josep Albors, director de investigación y concienciación de ESET.

Grandoreiro es la única familia de troyanos bancarios que aún tiene a usuarios españoles entre sus objetivos, con un repunte de su actividad bastante notable desde mediados de julio. Otras familias de troyanos bancarios con origen en Latinoamérica, como Mekotio, Casbaneiro o Mispadu, han regresado a su región de origen. “Esto no significa que no volveremos a ver campañas de estas familias de troyanos bancarios dirigidas a usuarios españoles, puesto que si algo hemos aprendido tras analizar un elevado número de muestras, es que los delincuentes no dejan de adaptarse y de centrarse allá donde puedan obtener un beneficio económico”, añade Albors.