La seguridad financiera se enfrenta a nuevas amenazas con el resurgimiento del troyano bancario Grandoreiro. Este malware, que ha puesto en jaque a más de 1.500 bancos a nivel mundial, es un recordatorio urgente de la necesidad de reforzar nuestras medidas de ciberseguridad. Entender cómo funciona Grandoreiro y qué estrategias se pueden implementar para protegerse es crucial para mantener la integridad de nuestra información financiera.
Resurgimiento del Malware Grandeiro
El troyano bancario "Grandoreiro" se está propagando en una campaña de phishing a gran escala en más de 60 países, dirigida a cuentas de clientes de aproximadamente 1.500 bancos.
En enero de 2024, una operación internacional de aplicación de la ley, en la que participaron Brasil, España, Interpol, ESET y Caixa Bank, anunció la interrupción de la operación de malware, que había estado dirigida a países de habla hispana desde 2017 y causó pérdidas por 120 millones de dólares.
Simultáneamente, se realizaron cinco detenciones y trece acciones de búsqueda e incautación en todo Brasil. Sin embargo, no se proporcionó información sobre el papel de los detenidos en la operación. Recientemente, se ha observado que Grandoreiro parece haber retomado operaciones a gran escala desde marzo de 2024, probablemente alquilado a ciberdelincuentes a través de un modelo de malware como servicio (MaaS), y ahora también está dirigido a países de habla inglesa.
Además, el propio troyano ha sido objeto de una renovación técnica que añadió muchas funciones y mejoras nuevas y potentes, lo que indica que sus creadores evadieron el arresto y no se dejaron disuadir por la represión anterior.
Ubicaciones de las aplicaciones a las que se dirige Grandoreiro
Conoce más sobre: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
Nuevas Campañas de Phishing
Los actores de amenazas que alquilan el malware utilizan señuelos de phishing variados y específicamente diseñados para las organizaciones objetivo de cada ciberdelincuente.
Recientemente, se han observado correos electrónicos de phishing que se hacen pasar por entidades gubernamentales en México, Argentina y Sudáfrica. Estos correos provienen de organizaciones como administraciones tributarias, servicios fiscales y comisiones federales de electricidad.
Estos mensajes están redactados en el idioma nativo del destinatario, utilizan logotipos y formatos oficiales, y contienen un llamado a la acción, como hacer clic en enlaces para ver facturas, estados de cuenta o documentos fiscales.
Al hacer clic en estos enlaces, los destinatarios son redirigidos a una imagen de un PDF que inicia la descarga de un archivo ZIP. Este archivo contiene un ejecutable inflado (100 MB), que actúa como el cargador de Grandoreiro.
Correo electrónico de phishing dirigido a personas en Sudáfrica
Te podrá interesar: Escalada de Ciberataques Brasileños Impacta a México
Nuevas Características del Grandoreiro
Recientemente, se han observado varias características nuevas y actualizaciones significativas en la última variante del troyano bancario Grandoreiro, lo que lo convierte en una amenaza más evasiva y efectiva.
Estas mejoras se pueden resumir de la siguiente manera:
- Algoritmo de generación de dominio (DGA): Actualizado para incluir múltiples semillas, separando las comunicaciones de comando y control (C2) de las tareas del operador.
- Algoritmo de descifrado de cadenas: Rediseñado y mejorado utilizando una combinación de AES CBC y un decodificador personalizado.
- Nuevo mecanismo para Microsoft Outlook: Desactiva alertas de seguridad y lo utiliza para enviar phishing a nuevos objetivos.
- Nuevo mecanismo de persistencia: Se basa en la creación de claves de ejecución del registro ('HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run' y 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run').
- Ampliación de aplicaciones bancarias dirigidas: Ahora incluye billeteras de criptomonedas.
- Ampliación del conjunto de comandos: Incluye control remoto, carga/descarga de archivos, registro de teclas y manipulación del navegador mediante comandos JavaScript.
- Capacidad de perfilado de víctimas: Realiza perfiles detallados de las víctimas para decidir si ejecutarse en el dispositivo, proporcionando a los operadores un mejor control del alcance de su objetivo.
Además, la última versión del troyano evita la ejecución en países específicos como Rusia, Chequia, Países Bajos y Polonia, así como en máquinas con Windows 7 en los Estados Unidos sin antivirus activo. Esto indica claramente que, a pesar de las recientes acciones policiales, Grandoreiro sigue activo y, desafortunadamente, parece más fuerte que nunca.
Conoce más sobre: Análisis de Malware con Wazuh
Conclusión
El regreso del malware bancario Grandoreiro subraya la importancia de estar siempre vigilantes y proactivos en la protección de nuestra información financiera. A medida que los atacantes continúan desarrollando métodos más sofisticados, también debemos mejorar nuestras defensas y estar preparados para responder a nuevas amenazas. La combinación de educación, herramientas de seguridad y buenas prácticas puede ayudar a reducir significativamente el riesgo de ser víctima de Grandoreiro y otros tipos de malware.
Mantente informado y adopta las medidas necesarias para protegerte a ti y a tus finanzas de los ataques cibernéticos. Recuerda que la seguridad en línea es una responsabilidad compartida, y cada uno de nosotros juega un papel crucial en la lucha contra el cibercrimen.