La actividad de algunas familias de troyanos bancarios brasileños en España continúa, pese a las operaciones policiales realizadas y el "retorno" a su lugar de origen. Hablamos, en concreto, del troyano Grandoreiro, que estuvo haciendo de las suyas el año pasado y ha estado más activo desde verano.
En este marco, la compañía de seguridad ESET alerta sobre cómo los cibermalos tratan de utilizar de nuevo el asunto de una factura pendiente de pago para tratar de engañar a sus víctimas. Sin embargo, y a diferencia de otras campañas anteriores, en esta ocasión no parecen haberse esmerado demasiado en hacer que el email sea convincente.
En primer lugar, el emisor usa una cuenta de usuario brasileña, lo que ya resulta algo sospechoso.
Además del asunto y un escueto cuerpo del mensaje en el que solo se indica una supuesta cantidad pendiente de cobro, tan solo se ve enlace para descargar lo que se supone que es la factura. Este apunta a un servicio acortador de enlaces, en una clara estrategia para no revelar a dónde quieren redirigir al usuario.
Al pinchar sobre el link la víctima es redirigida a una URL del servicio Azure de Microsoft. Este es usado por los hackers para alojar el fichero malicioso que supone la primera fase del ataque. Al pulsar, se descargará quedándose a la espera de ser ejecutado.
La descarga se realiza, además, en formato ZIP, en otro intento de no parecer sospechoso a primera vista. Pero al descomprimirlo se puede ver cómo se trata de un fichero en el formato ejecutable MSI.
Este fichero actúa como un descargador cuando se ejecuta, contactando con otra URL controlada por los delincuentes para descargar el payload responsable de ejecutar las funciones de troyano bancario en el sistema de la víctima.
Los que ya se fueron y los que se han quedado
"Esta campaña del troyano bancario Grandoreiro demuestra que los delincuentes detrás de estas amenazas siguen interesados en atacar a usuarios de nuestro país. Quizás las campañas ya no sean tan intensas como en meses anteriores, pero debemos permanecer alerta por si vuelven a producirse, contando con una solución de seguridad que nos ayude a detectarlas", señala Jose Albors, director de investigación y concienciación de ESET.
La firma de seguridad también asegura que por ahora Grandoreiro sería la única familia de troyanos bancarios que mantiene a los usuarios españoles como objetivos. Desde julio han venido comprobado cómo se ha dado un repunte de su actividad.
Por otro lado, otras familias de troyanos bancarios que tenían su origen en Latinoamérica, como el caso de Mekotio, Casbaneiro o Mispadu, han regresado a su región de origen. En cualquier caso, no se descarta que no puedan volver a centrarse en víctimas de nuestro país.