Los troyanos Grandoreiro y Mekotio regresan ocultos tras falsas multas y facturas

Recomendados.... » Cómo proteger el nuevo perímetro Leer » La digitalización y sostenibilidad, impulsores de la economía Informe » Digitalización y seguridad: motor de innovación en el sector financiero Leer

Los troyanos bancarios para sistemas Windows provenientes de Latinoamérica y que atacan a usuarios españoles se han convertido en algo frecuente. Es el caso de las campañas que se han estado propagando recientemente por los buzones de correo de usuarios españoles protagonizadas por viejos conocidos como son los códigos maliciosos Grandoreiro y Mekotio, señala ESET.

Muchas han sido las empresas y organismos oficiales suplantadas por los delincuentes responsables de estas amenazas. Sin embargo, cada cierto tiempo actualizan alguna de sus plantillas para ver si así consiguen nuevas víctimas. En una campaña detectada la semana pasada, los investigadores han visto que se ha empezado a suplantar la identidad de Generali Seguros invitando al usuario a descargar una factura. Sin embargo, no aparece ningún dominio aparentemente relacionado con la empresa Generali. De hecho, ese mismo dominio ha sido usado en campañas anteriores del troyano bancario Grandoreiro, por lo que los más avispados se habrán dado cuenta del intento de engaño.

La intención de los delincuentes sigue siendo que los usuarios que reciban este correo pulsen sobre el enlace proporcionado y descarguen un archivo comprimido en sus sistemas. Dentro de este archivo comprimido en ZIP encontramos otro fichero de un considerable tamaño, algo característico del malware Grandoreiro, que se caracteriza por utilizar binarios de gran tamaño para así dificultar las labores de análisis y evadir su detección.

En el caso de que un usuario descargue este archivo comprimido, lo abra y ejecute el fichero MSI que hay en su interior, se iniciará la segunda fase de esta amenaza, consistente en ponerse en contacto con un servidor remoto para descargar el fichero que contiene el troyano bancario en sí.

El pago de la multa

Una de las plantillas de correo que más han utilizado los responsables de las campañas de propagación de este tipo de troyanos es la que simula ser una multa de tráfico, para tratar de conseguir nuevas víctimas. En el caso más reciente que se ha estado propagando de forma bastante intensa durante las últimas horas, los delincuentes vuelven a utilizar el asunto de la multa no pagada para crear una sensación de miedo y urgencia entre los receptores de este correo.

De nuevo, un enlace invita a pulsar para descargar la supuesta multa y que redirige a un servidor donde se aloja el malware. En esta ocasión los delincuentes vuelven a usar un servicio de almacenamiento de ficheros con buena reputación como es Azure. Los delincuentes saben que este tipo de ficheros maliciosos duran poco tiempo en estos servicios legítimos, y este puede que sea uno de los motivos por el cual el envío de spam haya sido tan intenso. De esta forma, se aseguran de que, aunque sea un pequeño porcentaje, algunos usuarios caerán en la trampa y descargarán la amenaza.

A diferencia de Grandoreiro, el troyano bancario Mekotio no usa ficheros extremadamente grandes para tratar de evadir su detección y dificultar su análisis. Aun así, el tamaño de este código malicioso es superior a la media de otras amenazas similares que son desarrolladas por otros grupos de delincuentes en otras regiones del planeta.

Vemos que las tácticas usadas por los delincuentes detrás de estas campañas apenas han cambiado en los últimos años, y lo peor de todo es que siguen teniendo un éxito relativo. Por ese motivo es fundamental aprender a saber cómo funcionan para poder reconocerlas a tiempo y no caer en la trampa. Por ese motivo, la concienciación y el uso de soluciones de seguridad capaces de detectar estas amenazas resultan fundamentales para terminar con ellas de una vez por todas.