Los actores detrás del troyano bancario Grandoreiro, basado en Windows, han resurgido en una campaña global desde marzo de 2024, tras una intervención policial en enero.
Según IBM X-Force, los ataques de phishing a gran escala, probablemente facilitados por otros ciberdelincuentes a través de un modelo de malware como servicio (MaaS), apuntan a más de 1,500 bancos en todo el mundo, abarcando más de 60 países en América Central y del Sur, África, Europa y el Indo-Pacífico.
Aunque Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, la expansión sugiere un cambio de estrategia tras los intentos de las autoridades brasileñas de desmantelar su infraestructura.
Junto con la ampliación de su objetivo, se han realizado mejoras significativas en el propio malware, lo que indica un desarrollo activo. "El análisis del malware reveló importantes actualizaciones en el algoritmo de generación de dominios (DGA) y en la desencriptación de cadenas, así como la capacidad de usar clientes de Microsoft Outlook en hosts infectados para propagar correos electrónicos de phishing adicionales", dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.
Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, dependiendo de la naturaleza del engaño y la entidad gubernamental suplantada en los mensajes. Los usuarios que terminan haciendo clic en el enlace son redirigidos a una imagen de un icono de PDF, que finalmente conduce a la descarga de un archivo ZIP con el ejecutable del cargador de Grandoreiro.
El cargador personalizado está artificialmente inflado a más de 100 MB para eludir los programas de escaneo antimalware. También es responsable de asegurar que el host comprometido no se encuentre en un entorno de pruebas (sandbox), recopilando datos básicos de la víctima para un servidor de comando y control (C2), y descargando y ejecutando el troyano bancario principal.
Cabe señalar que el paso de verificación también se realiza para evitar sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos, así como máquinas con Windows 7 en EE. UU. sin antivirus instalado.
El componente del troyano comienza su ejecución estableciendo persistencia a través del Registro de Windows, tras lo cual emplea un DGA rediseñado para establecer conexiones con un servidor C2 y recibir más instrucciones.
Comments