Descubiertas nuevas campañas de troyanos bancarios dirigidas a España

  • Endpoint

alerta malware ciberseguridad

Las víctimas potenciales reciben una supuesta citación judicial, algo que puede llevarlos a pulsar sobre el enlace y descargar el troyano Grandoreiro. En el caso del troyano Mekotio, los atacantes han optado por usar una plantilla sencilla como es la del supuesto comprobante de pago.

Las campañas de troyanos bancarios con origen en Latinoamérica siguen estando muy presentes. Tras años de estudiar estas amenazas, los analistas de ESET han comprobado que los delincuentes que las desarrollan tienen varios lazos en común, por lo que no es extraño ver como algunas de estas amenazas se propagan al mismo tiempo. Es el caso de las nuevas campañas protagonizadas por Mekotio y Grandoreiro dirigidas a España.

Citación judicial

Una de las claves del éxito de estas familias de troyanos bancarios son los ganchos que utilizan para conseguir nuevas víctimas. En esta ocasión se valen de una supuesta citación judicial, algo que puede asustar a algunos usuarios y llevarlos a pulsar sobre el enlace que se proporciona en el cuerpo del mensaje. Además, los delincuentes han remitido el email desde una dirección con apariencia legítima para hacer más creíble este correo y hacer que piquen más usuarios.

En el caso de pulsar sobre el enlace, se producirá una redirección que terminará con la descarga de un archivo comprimido alojado en Azure, la nube de Microsoft. Aunque este tipo de ficheros maliciosos no suelen durar demasiado en estos servicios, a los delincuentes les basta con que estén activos durante unas horas para conseguir un importante número de víctimas.

Una vez descargado al sistema de la víctima dentro del archivo comprimido se encuentran dos archivos, siendo el más relevante el ejecutable con un tamaño de 82 MB. En este sentido son varias las familias de malware que inflan el tamaño de sus binarios para tratar de evadir las detecciones por parte de las soluciones de seguridad, una técnica muy usada por el malware Grandoreiro.

Para tratar de distraer a la víctima mientras el código malicioso se ejecuta en el sistema, esta variante de Grandoreiro muestra una pantalla que se hace pasar por una validación de Adobe, necesaria para poder visualizar el supuesto fichero PDF donde se encuentra la citación judicial. Sin embargo, y aunque el usuario complete el captcha proporcionado, tan solo se le presentará un nuevo cuadro de diálogo donde se le indica que se está preparando su archivo PDF, archivo que no será mostrado.

A partir de este punto, el troyano bancario Grandoreiro comienza a recopilar información financiera confidencial, como nombres de usuario y contraseñas, información de tarjetas de crédito y detalles de cuentas bancarias. Esta amenaza también es capaz de capturar información mostrada en la pantalla y grabar las pulsaciones del teclado, lo que significa que los ciberdelincuentes pueden obtener una gran cantidad de información personal.

Comprobante de pago

El troyano Grandoreiro no ha sido el único que ha vuelto a hacer acto de presencia en los últimos días, ya que ha venido acompañado de otra amenaza similar con la que comparte origen, como es el troyano Mekotio. En esta ocasión han optado por usar una plantilla sencilla como es la del supuesto comprobante de pago procedente de una empresa brasileña.

El enlace incluido en el cuerpo del mensaje redirige a un dominio extraño desde donde se descarga un fichero comprimido en formato ejecutable MSI. Este ejecutable inicia la cadena de infección típica del troyano Mekotio, que termina instalándolo en el sistema para empezar a robar información financiera, como credenciales de inicio de sesión, detalles de la tarjeta de crédito y otra información personal confidencial.

Según Josep Albors, director de investigación y concienciación de ESET, “acabamos de comprobar que amenazas que llevan ya varios años entre nosotros siguen activas y consiguiendo nuevas víctimas. Sin embargo, detectar estos correos fraudulentos y permanecer protegido frente a estas amenazas es sencillo si nos fijamos en los detalles, desconfiamos de correos no solicitados (por mucho que digan provenir de fuentes de confianza) y contamos con soluciones de seguridad modernas y actualizadas”.