Los actores de amenazas detrás del troyano bancario Grandoreiro basado en
Windows han regresado en una campaña global desde marzo de 2024, luego de una
eliminación policial en enero.
-
Grandoreiro es un troyano bancario multicomponente que funciona como malware
como servicio (MaaS). -
Se utiliza activamente en campañas de phishing haciéndose pasar por
entidades gubernamentales en México, Argentina y Sudáfrica. -
El troyano bancario se dirige específicamente a más de 1.500 aplicaciones y
sitios web bancarios globales en más de 60 países, incluidas regiones de
América Central y del Sur, África, Europa y el Indo-Pacífico. -
La última variante contiene actualizaciones importantes que incluyen
descifrado de cadenas y cálculo DGA, lo que permite al menos 12 dominios C2
diferentes por día. -
Grandoreiro admite la recopilación de direcciones de correo electrónico de
hosts infectados y el uso de su cliente Microsoft Outlook para enviar más
campañas de phishing.
Según el nuevo informe de IBM X-Force, si bien Grandoreiro es conocido principalmente por su enfoque en América
Latina, España y Portugal, la expansión probablemente sea un cambio de
estrategia después de los
intentos de las autoridades brasileñas de cerrar su infraestructura.
Desde marzo de 2024, X-Force ha observado campañas de phishing haciéndose
pasar por el Servicio de Administración Tributaria (SAT) de México, la
Comisión Federal de Electricidad (CFE) de México, la Secretaría de
Administración y Finanzas de la Ciudad de México y el Servicio de Impuestos
AFIP de Argentina. Los correos electrónicos están dirigidos a usuarios de
América Latina, incluidos dominios de nivel superior (TLD) de México, Colombia
y Chile «.mx», «.co», «.ar» y «.cl».
De la mano de una huella de ataque más amplia, se encuentran mejoras
significativas en el propio malware, lo que indica un desarrollo activo.
«El análisis del malware reveló actualizaciones importantes dentro del
algoritmo de descifrado de cadenas y generación de dominios (DGA), así como
la capacidad de utilizar clientes Microsoft Outlook en hosts infectados para
difundir más correos electrónicos de phishing», dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.
Los ataques comienzan con correos electrónicos de phishing que instruyen a
los destinatarios a hacer clic en un enlace para ver una factura o realizar
un pago, según la naturaleza del señuelo y la entidad gubernamental
suplantada en los mensajes. Los usuarios que terminan haciendo clic en el
enlace son redirigidos a una imagen de un ícono de PDF, lo que finalmente
conduce a la descarga de un archivo ZIP con el ejecutable del cargador
Grandoreiro.
El cargador personalizado se «infla» artificialmente a más de 100 MB para
evitar el software de escaneo antimalware. También es responsable de
garantizar que el host comprometido no se encuentre en un entorno aislado,
recopilar datos básicos de la víctima en un servidor de comando y control (C2)
y descargar y ejecutar el principal troyano bancario. Para eludir la ejecución
automatizada, muestra una pequeña ventana emergente CAPTCHA que imita al
lector de PDF de Adobe, el cual requiere un clic para continuar con la
ejecución.
Vale la pena señalar que el paso de verificación también se realiza para
omitir sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos,
así como máquinas con Windows 7 basadas en los EE.UU. sin antivirus instalado.
El componente troyano comienza su ejecución estableciendo persistencia a
través del Registro de Windows, después de lo cual emplea un DGA rediseñado
para establecer conexiones con un servidor C2 para recibir más instrucciones.
Grandoreiro admite una variedad de comandos que permiten a los actores de
amenazas controlar remotamente el sistema, realizar operaciones con archivos y
habilitar modos especiales, incluido un nuevo módulo que recopila datos de
Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima
para enviar mensajes de spam a otros objetivos.
«Para interactuar con el cliente Outlook local, Grandoreiro utiliza la
herramienta Outlook Security Manager, un software utilizado para desarrollar
complementos de Outlook. La razón principal detrás de esto es que Outlook
Object Model Guard activa alertas de seguridad si detecta acceso a objetos
protegidos».
Al utilizar el cliente Outlook local para enviar spam, Grandoreiro puede
propagarse a través de las bandejas de entrada de las víctimas infectadas a
través del correo electrónico, lo que probablemente contribuye a la gran
cantidad de volumen de spam observado en Grandoreiro.
Fuente:
THN
Los comentarios están cerrados.