A mediados del pasado mes de mayo advertimos que los troyanos bancarios Grandoreiro y Mekotio permanecen activos y buscando nuevas víctimas entre los usuarios españoles. En aquella ocasión, nos centramos en la campaña que estaba protagonizando Mekotio haciendo referencia a la existencia de una factura emitida que estaría pendiente pago pero, que en realidad, abría las puertas a la infección del sistema. La compañía de ciberseguridad ESET dio la voz de alarma sobre este ciberataque y ahora ha alertado de una campaña muy similar que, en este caso, propaga el troyano bancario Grandoreiro, originario de Brasil y que lleva amenazando a los españoles desde principios del 2020.
Grandoreiro vuelve a la carga, escondido en una multa de tráfico
Los ciberdelincuentes detrás de Grandoreiro siempre han utilizado el pretexto de una factura para tratar de engañar a sus víctimas y, en este caso, usan el gancho de una supuesta multa de tráfico pendiente de pago.
Según señala Josep Albors, director de investigación y concienciación de ESET España, en una publicación del blog de ESET, el correo tiene como remitente un dominio que ya habían observado en campañas protagonizadas por Mekotio, ggobs.es, "aunque, en esta ocasión, no se han molestado en usar los logos de la Dirección General de tráfico como sí hemos visto en otras ocasiones".
En cuanto al cuerpo del mensaje, se trata de un texto bastante escueto en el que se indica al usuario que tiene una multa pendiente de pago y que debe acceder a un enlace para revisarla. "Como suele suceder en estos casos, el enlace nos redirige a la descarga de un fichero que los delincuentes han nombrado en este caso como 'company_factura.zip'".
Tal y como explica Albors, este enlace redirige a los usuarios a la descarga de un fichero comprimido que tiene por nombre "company_factura.zip" y que se trata de un fichero MSI, "en lugar de un archivo ofimático como pueda ser un documento de Word o un PDF" y siendo este un tipo de fichero "ampliamente utilizados por los delincuentes detrás de estas campañas de propagación de troyanos bancarios latinoamericanos".
"En el caso de que el usuario ejecute el archivo MSI, se iniciará la cadena de infección, conectándose a otro servidor controlado por los delincuentes y descargándose otro archivo que contiene la carga maliciosa del troyano bancario. A pesar de estar identificado como ZIP, la extensión real del archivo no es esa y tanto la descarga como la ejecución del malware se realiza de forma transparente al usuario", apunta Albors.
La segunda campaña de Grandoreiro en menos de un mes
Esta alerta de ESET sobre el troyano bancario Grandoreiro se suma a la que lanzó el Instituto Nacional de Ciberseguridad (INCIBE) el pasado 19 de mayo, cuando publicó un aviso en su página web en el que informaba que el malware se estaba distribuyendo en una campaña maliciosa que suplantaba la identidad de Endesa y tenía como asunto "Se adjunta su factura electrónica para el mes de mayo/junio – (xxxxxxxxxxxx)".
"El análisis de estos archivos indica que están infectados con el troyano bancario Grandoreiro, el cual permitiría a los ciberdelincuentes realizar acciones como manipular ventanas, registrar pulsaciones de teclado y obtener direcciones del navegador de la víctima, entre otras", resaltaba INCBE.
Para evitar ser víctima de este tipo de campañas, Albors subraya que lo mejor es ignorar y eliminar este tipo de mensajes y recuerda que, ante la duda, se debe consultar la fuente oficial "en lugar de pulsar sobre un enlace o descargar un fichero adjunto que no sabemos a ciencia cierta lo que puede contener".