Dos detenidos por robar 11.500 euros con el troyano Grandoreiro

La víctima es una empresa riojana que había sufrido la infección de un ordenador con malware. Los delincuentes fueron apresados en Madrid.

Anahí Di Santo.

Periodista.

Guardar

Dos personas detenidas en Madrid por estafar a una empresa riojana mediante el troyano Grandoreiro.
Dos personas detenidas en Madrid por estafar a una empresa riojana mediante el troyano Grandoreiro.

La estafa se produjo cuando la denunciante ingresó a la banca online desde su oficina. Mientras consultaba los movimientos de la cuenta, el ordenador quedó bloqueado, le impidió seguir operando y luego le solicitó introducir códigos de activación. Más tarde pudo comprobar que durante ese lapso de tiempo en el que el dispositivo estuvo paralizado, le sustrajeron de la cuenta 11.500 euros, a través de 7 transferencias, informa Europa Press.

Tras un análisis técnico, la Policía de La Rioja detectó el troyano bancario Grandoreiro en el ordenador de la víctima. Este programa malicioso se ejecuta cada vez que inicia el sistema operativo de la PC y les permite a los delincuentes manipular las ventanas del equipo, capturar las teclas pulsadas por un usuario y obtener acceso completo en cualquier momento.

En este caso, los atacantes permanecieron inactivos hasta que la víctima accedió a su banca online. Una vez introducidas las claves de forma legítima por la denunciante, los piratas tomaron el control del ordenador gracias a la infección con este troyano, manipularon las ventanas y accedieron a la sección transferencias sin que la usuaria lo notara.

La investigación, llevada a cabo por agentes de la Jefatura Superior de Policía de la Rioja y de la Comisaría Local de Torrejón de Ardoz, permitió dar con siete personas que participaron de este delito y recibieron el dinero procedente de la estafa. Dos de ellas fueron detenidas y otras cinco fueron identificadas en Madrid y localidades madrileñas.

El troyano

Un análisis de ESET, revela que este malware se ha distribuido principalmente en España, Brasil México, y Perú, desde al menos, 2017. La infección se produce a través de correos spam, generalmente utilizando una actualización falsa de Java o Flash, pero también se lo ha detectado en correos con temáticas vinculadas al Covid o como facturas de electricidad fraudulentas, simulando pertenecer a la empresa Endesa. La víctima recibe un correo con un enlace de descarga camuflado, que, al abrirse, instala el troyano en el ordenador.

Grandoreiro “cuenta con funcionalidades de backdoor que le permiten manipular ventanas, actualizarse, registrar las pulsaciones de teclado, simular acciones de mouse y teclado, obtener direcciones URL del navegador de la víctima, cerrar sesión de la víctima o reiniciar el equipo y bloquear el acceso a sitios web elegidos”, explican desde ESET. “Además de recopilar información de sus víctimas, como el nombre de la computadora, el nombre de usuario, lista de productos de seguridad instalados (…) algunas versiones de Grandoreiro también roban las credenciales almacenadas en el navegador web Google Chrome y los datos almacenados en Microsoft Outlook”, detalla la compañía de software especializada en ciberseguridad.

Las medidas de prevención

Frente a estos ataques, tanto la Policía como los expertos en ciberseguridad consultados por Escudo Digital, recomiendan tener en el ordenador un buen programa antimalware que proteja de las amenazas del código malicioso, e instalar todas las actualizaciones, que sirven para mantener al día la base de datos de amenazas.

Del mismo modo, es importante mantener actualizados los sistemas operativos, aplicaciones y todo el software, incluido el antivirus.

Si se trata de una empresa, concienciar y formar a los trabajadores es de los consejos más importantes, para que hagan un correcto uso de los equipos y eviten caer en engaños. En este sentido, también se recomienda elaborar un listado de aplicaciones permitidas y evitar la descarga e instalación de programas desde sitios web o correos electrónicos que no ofrezcan las debidas garantías de seguridad o que no sean de confianza.

En cuanto al uso de la banca online, se indica no guardar por defecto contraseñas bancarias en el navegador, y configurar medidas de seguridad, como la introducción de un token recibido en otros dispositivos para la autorización de transferencias a tras cuentas.

En el caso de que un ordenador se quede sospechosamente bloqueado, una medida rápida es desconectar inmediatamente el router de la alimentación y comprobar las cuentas bancarias con las que se estuviera operando y cambiar las contraseñas.

Si se realiza una transacción y poco después se percata de que pudiera ser fraudulenta, ponerse en contacto rápidamente con su entidad bancaria para su cancelación y denunciar lo antes posible.