España y México se han convertido en los principales objetivos del troyano bancario Grandoreiro. Así lo ha revelado un informe de Zscaler ThreatLabs, en el que explican su modus operandi y cuáles son los sectores en su punto de mira.
Grandoreiro ya es un viejo conocido en nuestro país. Este malware lleva distribuyéndose al menos desde 2016, pero ha ido perfeccionándose a lo largo del tiempo, convirtiéndose en un problema bastante preocupante en los últimos años, especialmente en los países de habla hispana.
Sus creadores suelen utilizar el phishing y las tácticas de ingeniería social para distribuirlo. De hecho, recientemente, que sus responsables estaban tratando de usurpar la identidad de WhatsApp a través de un correo electrónico que, supuestamente, le ofrecía al usuario una copia de sus mensajes e historial de llamadas, pero nada más lejos de la realidad: simplemente, se trataba de un pretexto para instalar Grandoreiro en nuestros equipos.
Sin embargo, no es ni mucho menos su única táctica. Ahora, los investigadores de Zscaler han analizado las nuevas artimañas de los ciberdelincuentes detrás de este malware y han determinado que España y México son sus principales objetivos. Concretamente, el sector de la fabricación de productos químicos es el más afectado en nuestro país, mientras que en el país latinoamericano lo son el de la logística, la maquinaria, la automoción y la construcción civil y militar.
Usurpación de identidad e ingeniería social
Para ello, los piratas informáticos están volviendo a recurrir a su estrategia de usurpación de identidad. En este caso, se hacen pasar por funcionarios públicos de los gobiernos de España y México que contactan con los usuarios vía correo electrónico con algún tipo de excusa para alentarles a descargar su software malicioso sin que lo sepan.
El informe de la compañía de ciberseguridad detalla dos formas en la que los ciberdelincuentes están intentando distribuir Grandodeiro. La primera de ellas tiene que ver, como comentamos antes, con la usurpación de identidad de funcionarios del gobierno. Los criminales envían mensajes a sus potenciales víctimas en las que las instan a descargar una resolución o notificación judicial que, en realidad, no existe; sino que el enlace redirige a un sitio web que procede a descargar el malware en el equipo.
Dentro de esta categoría, los investigadores también han descubierto otro tipo de mensaje similar que, supuestamente, es enviado desde la Sección de Decisión Temprana y Litigios del Ministerio Público. Su pretexto es el mismo: una llamada a la acción para que el usuario descargue una Resolución de Archivo Provisional. En este caso, la URL lleva a otra página web distinta a la anterior, pero que hace exactamente lo mismo: instalar Grandoreiro.
La segunda modalidad de este phishing tiene que ver con temas económicos. El primero de los casos citados se refiere a la cancelación de un préstamo hipotecario, que podrá materializarse si el usuario descarga y rellena un formulario con esa finalidad. Sin embargo, una vez más, el link dirige a su víctima a otro de los sitios que descargan un archivo ZIP que contiene la carga útil del software malicioso.
La otra variante trata de engañar al usuario en nombre de distintas organizaciones mexicanas para que descargue un supuesto comprobante financiero. Si el incauto acaba mordiendo el anzuelo el resultado es el mismo: se le dirige a una web que descarga el archivo en su PC, lo que puede acabar teniendo consecuencias devastadoras.
Estas son sus características más aterradoras
Entre las características de este malware, ya conocíamos algunas muy alarmantes, como sus capacidades para registrar las pulsaciones de teclas, simular acciones de teclado y ratón, reiniciar el equipo o cerrar sesión. Sin embargo, Zscaler ha añadido otras muy preocupantes a la lista.
Y es que, ahora, Grandoreiro es capaz de camuflarse mejor para evitar su detección. Para ello, como explican los investigadores, utilizan “una técnica de relleno binario” que añade múltiples imágenes .BMP para ampliar considerablemente el tamaño del archivo, ya que la mayoría de los sistemas de seguridad tienen un límite de tamaño de archivos.
En algunos casos, como en el reportado en Twitter por el analista de seguridad Ankit Anubhav, el fichero ZIP pide resolver un CAPTCHA antes de poder descomprimir su contenido. Este es otro de los métodos empleados por los ciberdelincuentes para evitar que el malware sea detectado.
Anti sandbox – To run the malware exe victim needs to solve a captcha.
Use of azure cloudapp, malware does a POST with string "INFECTADO"
Connects to a HFS server – It looks like XML but in reality these are archives hiding exe payload.
300MB+ size.
C2 : ciscofreak? pic.twitter.com/jSnuQIPiFQ— Ankit Anubhav (@ankit_anubhav) August 5, 2022
Por otro lado, una vez descargado, el software es capaz de averiguar algunos detalles sobre el ordenador de su víctima, como el nombre del usuario y del ordenador, qué sistema operativo o antivirus utiliza o si tiene instalada alguna billetera de criptomonedas. Además de todo esto, que ya es bastante estremecedor, el malware está firmado con un certificado robado de ASUSTEK (de ASUS) para hacerlo parecer totalmente legítimo.
Imagen de Elchinator en Pixabay