El troyano bancario Grandoreiro regresa con la marca Endesa como gancho

  • Endpoint

Aunque la plantilla de correo usada no sea especialmente elaborada, el usuario que reciba este email puede pensar que se trata de un correo legítimo enviado por la empresa eléctrica con una supuesta factura, que en realidad descarga un archivo MSI, encargado de realizar la infección inicial.

Durante los últimos dos años, se han producido numerosas campañas de spam protagonizadas por diversas familias de troyanos bancarios con origen en Latinoamérica y dirigidas a usuarios españoles. En todas ellas los delincuentes han utilizado principalmente el correo electrónico como vector de ataque, suplantando a todo tipo de empresas y organismos oficiales. Entre los troyanos bancarios que más campañas ha dirigido a España se encuentran los de la familia Grandoreiro, que ahora ha regresado haciéndose pasar por la compañía Endesa para tratar de conseguir nuevas víctimas.

En esta ocasión, aunque la plantilla de correo usada no sea especialmente elaborada e incluso presenta algún error, el usuario que reciba este email puede pensar que se trata de un correo legítimo enviado por la empresa eléctrica, especialmente si comprueba el remitente del correo que usa un dominio de esa compañía. Sin embargo, no es difícil hacer creer que un correo proviene de un remitente cuando, en realidad, el email viene de otra dirección. Esto se puede comprobar revisando con detalle la cabecera del correo, donde hay campos que no coinciden y delatan que estamos ante un nuevo caso de email spoofing.

En lo que respecta al fichero adjunto al correo, nos encontramos (como es habitual en las campañas de Grandoreiro) con un archivo MSI, que se encarga de realizar la infección inicial y contactar con un servidor controlado por los delincuentes desde el que se descarga el payload. La conexión con el servidor remoto permite la descarga de un fichero con una supuesta extensión ZIP. Sin embargo, esta extensión es engañosa, ya que en realidad ese archivo tiene el formato de librería dinámica DLL y contiene el payload del troyano bancario en sí.