Grandoreiro vuelve a la carga con nuevos correos suplantando a la DGT y a Vodafone

Recomendados:  Empresas data driven: estrategias de datos para marcar la diferencia Evento  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

A pesar de que la actividad de los troyanos bancarios con origen en Latinoamérica ha descendido con respecto a meses anteriores, aún hay campañas que tratan de conseguir nuevas víctimas entre usuarios españoles repitiendo las técnicas que tan buenos resultados les han dado. Es el caso de Grandoreiro, cuyos autores usan principalmente el correo electrónico como vector de ataque inicial, algo que vuelve a repetirse en la campaña detectada por ESET, la cual utiliza dos plantillas diferentes como gancho para tratar de convencer a los usuarios para que pulsen sobre los enlaces proporcionados.

Por un lado, hay una plantilla que simula ser una multa de la DGT, la cual fue utilizada a principios de 2020 y siguió siendo utilizada como gancho por los delincuentes durante un tiempo. En este correo se nos indica que tenemos una multa de tráfico pendiente de pago y se nos proporciona un enlace para acceder supuestamente a su pago.

Por otro lado, está la plantilla de correo con una supuesta factura de Vodafone, que fue bastante usada durante 2020 y principios de 2021. En este caso se nos muestra un importe elevado correspondiente a una factura telefónica y se nos proporcionan dos enlaces desde los cuales descargar la supuesta factura.

Tal y como es habitual es estas campañas, el enlace proporcionado nada tiene que ver con lo que finalmente se descarga. De hecho, al pulsar sobre el enlace que aparece en el email se redirecciona a alguna URL controlada por los atacantes. Concretamente, la redirección se realiza hacia Yandex, un servicio de correo electrónico muy popular en Rusia, y más concretamente a la parte que se encarga de alojar los ficheros adjuntos al correo. Esto representa un cambio con respecto a campañas anteriores, aunque la finalidad sigue siendo la de tratar de evadir los filtros de correo iniciales, usando para ello un servicio que no tenga mala reputación.

Cuando se descarga el fichero comprimido en el sistema se observa como al abrirlo nos encontramos un archivo MSI que suele ser utilizado en campañas protagonizadas por estas familias de troyanos bancarios. Este fichero actúa como descargador, conectándose a una URL controlada por los delincuentes y descargando el payload correspondiente al troyano Grandoreiro, una de las familias que más ha afectado a usuarios españoles desde el inicio de estas campañas.