ESET continúa con sus investigaciones sobre Grandoreiro, un troyano que afecta a usuarios de España, Brasil, México y Perú, sobre todo. Distribuido principalmente a través de correos electrónicos con supuestas facturas o que solicitan actualizar Flash o Java, Grandoreiro ha empezado ahora a aprovecharse de webs falsas para sacarle partido a la necesidad de información de los ciudadanos sobre la pandemia que ha causado el COVID-19. En esta ocasión, los ciberdelincuentes utilizan la imagen de compañías eléctricas como Iberdrola o Lucera como gancho de su campaña: las posibles víctimas reciben un correo electrónico con una supuesta deuda pendiente de pago. Si el usuario que recibe este email pulsa sobre el enlace, será redirigido a un dominio creado recientemente por los delincuentes y que solicita la apertura o descarga de un sospechoso archivo comprimido que lanza una supuesta aplicación para visualizar la factura.
En las últimas investigaciones detectadas, investigadores de ESET también han encontrado que los ciberdelincuentes están utilizando enlaces a supuestos vídeos desde los que se descargan archivos maliciosos en el dispositivo de la víctima.
Grandoreiro ha estado activo desde al menos 2017 en Brasil y Perú, pero en 2019 se expandió a España y a México. Este troyano es capaz de mostrar y manipular ventanas emergentes, actualizarse automáticamente, capturar pulsaciones de teclado, simular acciones de ratón y de teclado, usar los navegadores de Internet para acceder a URLs de su elección, cerrar sesiones, reiniciar máquinas y bloquear el acceso a algunas webs, entre otros. Además, recopila información de los sistemas infectados y en algunas versiones incluso roba las credenciales almacenadas en Google Chrome y datos de Microsoft Outlook.
“Para tratarse de un troyano bancario típico de los que se suelen encontrar en Latinoamérica, Grandoreiro utiliza una sorprendente cantidad de técnicas para evitar la detección, entre las que se incluyen la capacidad de detectar y desactivar software de protección bancaria”, afirma Robert Šuman, responsable del equipo de investigación sobre Grandoreiro en ESET. “Parece que desarrollan el troyano muy rápidamente y cada nueva versión incluye mejoras y cambios. Creemos que se están desarrollando dos variantes a la vez. Desde el punto de vista técnico utilizan una aplicación muy específica de relleno que hace muy complicado eliminar dicho relleno mientras se mantiene la funcionalidad del archivo válido”.
Al contrario que la mayoría de los troyanos bancarios en Latinoamérica, Grandoreiro se aprovecha de cadenas de distribución muy pequeñas y en cada campaña utiliza un descargador diferente, aunque siempre desde sitios públicos muy conocidos como GitHub, Dropbox, Mediafire, Pastebin, 4shared o 4Sync.
ESET ya informó a mediados del mes de abril de un incremento en los envíos de phishing con Grandoreiro, en concreto con facturas falsas de la compañía eléctrica Lucera. El correo que recibían las potenciales víctimas estaba redactado pobremente e incluía un enlace y el nombre del supuesto gerente comercial, además del remitente y el asunto. Con la nueva campaña lanzada en nombre de Iberdrola los delincuentes posiblemente estén intentando ampliar el número de posibles víctimas.
