Así aprovecha la pandemia el troyano bancario Grandoreiro

 

Recomendados:  WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro  WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

La firma de ciberseguridad sigue sus investigaciones sobre Grandoreiro, un troyano que afecta principalmente a usuarios de España, Brasil, México y Perú, y que se distribuye sobre todo a través de correos electrónicos con supuestas facturas o que solicitan actualizar Flash o Java.

Grandoreiro ha empezado ahora a aprovecharse de webs falsas para sacarle partido a la necesidad de información de los ciudadanos sobre la pandemia que ha causado el coronavirus. En esta ocasión, los ciberdelincuentes utilizan la imagen de compañías eléctricas como Iberdrola o Lucera como gancho de su campaña y las posibles víctimas reciben un correo electrónico con una supuesta deuda pendiente de pago. Según Eset, si el usuario que recibe este email pulsa sobre el enlace, será redirigido a un dominio creado recientemente por los delincuentes y que solicita la apertura o descarga de un sospechoso archivo comprimido que lanza una supuesta aplicación para visualizar la factura.

En las últimas investigaciones detectadas, los investigadores de la compañía también han encontrado que los ciberdelincuentes están utilizando enlaces a supuestos vídeos desde los que se descargan archivos maliciosos en el dispositivo de la víctima.

Grandoreiro ha estado activo desde al menos 2017 en Brasil y Perú, pero en 2019 se expandió a España y a México. Este troyano es capaz de mostrar y manipular ventanas emergentes, actualizarse automáticamente, capturar pulsaciones de teclado, simular acciones de ratón y de teclado, usar los navegadores de Internet para acceder a URLs de su elección, cerrar sesiones, reiniciar máquinas y bloquear el acceso a algunas webs, entre otros. Además, recopila información de los sistemas infectados y en algunas versiones incluso roba las credenciales almacenadas en Google Chrome y datos de Microsoft Outlook.

Al contrario que la mayoría de los troyanos bancarios en Latinoamérica, este troyano se aprovecha de cadenas de distribución muy pequeñas y en cada campaña utiliza un descargador diferente, aunque siempre desde sitios públicos muy conocidos como GitHub, Dropbox, Mediafire, Pastebin, 4shared o 4Sync.

Eset ya informó a mediados del mes de abril de un incremento en los envíos de phishing con Grandoreiro, en concreto con facturas falsas de la compañía eléctrica Lucera. El correo que recibían las potenciales víctimas estaba redactado pobremente e incluía un enlace y el nombre del supuesto gerente comercial, además del remitente y el asunto. Con la nueva campaña lanzada en nombre de Iberdrola los delincuentes posiblemente estén intentando ampliar el número de posibles víctimas.