Artículo gentiliza de Any.Run para Segu-Info
Grandoreiro es un troyano bancario que ha estado apuntando activamente a
usuarios, particularmente en América Latina. Este malware, que a menudo forma
parte de campañas de phishing más amplias, está diseñado para robar
credenciales bancarias y datos financieros engañando a los usuarios para que
descarguen software malicioso.
Analicemos las tres etapas de un ataque típico de Grandoreiro.
Etapa 1: propagación, envío e infección
El principal método de distribución de Grandoreiro es mediante campañas de
phishing.
Los ciberatacantes suelen enviar correos electrónicos que se hacen pasar por
entidades gubernamentales e instituciones financieras legítimas, animando a
las víctimas potenciales a hacer clic en enlaces maliciosos y descargar
archivos adjuntos infectados.
Los correos electrónicos son engañosos porque afirman contener documentos
importantes, como extractos de cuentas bancarias, impuestos o avisos de
impuestos. Después de hacer clic en el enlace o abrir el documento, la
potencial víctima descarga un archivo ZIP malicioso que contiene el
payload de Grandoreiro, disfrazado de PDF u otro archivo benigno.
Para ver cómo comienza la cadena de infección, ejecutamos una muestra de
Grandoreiro dentro del entorno limitado interactivo de
ANY.RUN. Vemos en el análisis del
sandbox que el malware se envía a través de un correo electrónico
disfrazado de documento importante. El correo electrónico incluye un enlace
que dirige al usuario a una página web.
En nuestro caso, el usuario es redirigido a una página web donde se muestra
una imagen con un logo de PDF junto con el texto «Documento PDF». A
continuación, un archivo llamado «Fact1575612671912320.zip» comienza a
descargarse en la computadora.
Dentro del archivo, encontramos un archivo
llamado «HUV_Fac_tura_JLDNUZEITXIY.exe» que usa un ícono de
PDF para parecer confiable, pero la extensión de archivo real sigue siendo
.EXE, una clara señal de que es un archivo ejecutable, no un documento. Este
es un método clásico utilizado para engañar a los usuarios para que ejecuten
Grandoreiro.
Después de abrir el archivo dentro de la sandbox, podemos ver que este es el
.EXE malicioso real utilizado para infectar la máquina con Grandoreiro.
Etapa 2: Persistencia y Comunicación C2
Después de que se ejecuta el cargador, la siguiente etapa implica la
persistencia y la comunicación con el servidor de comando y control (C2).
Una vez que se ejecuta Grandoreiro, establece persistencia modificando el
registro de Windows, asegurando que se inicie automáticamente cada vez que el
usuario inicia sesión. Esto le ayuda a mantener un punto de apoyo en el
sistema, incluso después de reiniciar.
Dentro del sandbox, en el árbol de procesos para el ejecutable
HUV_Fac_tura_JLDNUZEITXIY.exe, se pueden observar todos los cambios de
registro realizados por Grandoreiro.
Algunos cambios clave en el registro realizados por Grandoreiro incluyen:
-
ProxyBypass: esta clave de registro se utiliza para almacenar
configuraciones que permiten que el malware omita cualquier configuración
del servidor proxy configurada por el usuario o la red. Al establecer el
valor en «1», Grandoreiro garantiza que puede comunicarse libremente con sus
servidores de comando y control (C2) o descargar cargas útiles maliciosas
adicionales sin interferencias. Esta táctica ayuda al malware a evadir la
detección y mantener la persistencia, evitando las medidas de seguridad de
la red. -
IntranetName: esta clave modifica el nombre de la zona de
intranet en la Configuración de Internet del registro de Windows. El malware
como Grandoreiro a menudo aprovecha esta clave para comunicarse con recursos
internos o filtrar información confidencial, lo que facilita que el
cumplimiento de sus objetivos pase desapercibidos.
En esta etapa, Grandoreiro permanece oculto dentro del sistema, ejecutándose
en segundo plano. Se conecta a sus servidores C2 para enviar información
robada, incluidas credenciales y datos potencialmente confidenciales, a los
atacantes. Con el marco
MITRE ATT&CK Matrix integrado en el sandbox ANY.RUN, podemos ver claramente las diversas técnicas utilizadas en el ataque
Grandoreiro.
A continuación se muestra un desglose de algunas de las tácticas y técnicas
identificadas:
-
Robo de datos: Grandoreiro se centra en robar información sensible,
especialmente datos personales y financieros. Este es uno de los objetivos
principales del malware, con énfasis en capturar credenciales bancarias. -
Descubrimiento de software: el malware realiza un reconocimiento del
sistema para recopilar información detallada sobre el sistema operativo,
incluida su versión, los parches instalados y la arquitectura. Esto ayuda al
atacante a adaptar sus próximos pasos para la explotación. -
Descubrimiento de la configuración de la red: Grandoreiro examina la
configuración de la red del sistema, las direcciones IP y los detalles de
configuración, ayudándolo a mapear la red para una mayor explotación y
garantizar su persistencia. -
Uso de puertos no estándar: para evadir la detección, el atacante
suele comunicarse a través de puertos no estándar, lo que dificulta que las
herramientas de seguridad detecten y bloqueen el tráfico del malware.
Etapa 3: Robo
Grandoreiro suele utilizar técnicas de ingeniería social para robar
credenciales y eludir medidas de seguridad como la autenticación de dos
factores (2FA).
Una vez que los operadores de malware tienen acceso al sistema de la
víctima, utilizan superposiciones (overlays) bancarias falsas. Estas
superposiciones imitan pantallas de inicio de sesión bancarias legítimas o
formularios de aprobación de transacciones. Cuando los usuarios inician
sesión en su cuenta bancaria o inician una transacción, sin saberlo,
interactúan con estas superposiciones fraudulentas. Esto permite a los
atacantes robar credenciales de inicio de sesión en tiempo real.
Además, los operadores de Grandoreiro engañan a los usuarios para que
proporcionen códigos 2FA simulando errores o solicitando al usuario que vuelva
a ingresar el código bajo la apariencia de un problema del sistema. Dado que
la 2FA suele entregarse a través de SMS, los atacantes pueden interceptar los
mensajes o convencer a los usuarios para que los introduzcan en la
superposición falsa. Esto permite a los atacantes completar transacciones
fraudulentas sin que el usuario se dé cuenta hasta que sea demasiado tarde.
Los operadores de Grandoreiro también utilizan bloqueadores de pantalla para
evitar que los usuarios interfieran mientras se produce el ataque, de modo que
puedan robar fondos o realizar otras actividades maliciosas sin ser
molestados.
Los comentarios están cerrados.