Una campaña de estafa a través del correo electrónico ha surgido con la intención de propagar el troyano bancario Grandoreiro, diseñado para robar credenciales de servicios bancarios en línea. Los delincuentes utilizan supuestos vencimientos de facturas como señuelo para engañar a las víctimas y atraerlas a su trampa.
Usuarios, especialmente empresariales, están siendo objeto de esta campaña de phishing, en la que reciben correos electrónicos que alertan sobre el vencimiento de una factura. El contenido aparentemente legítimo busca generar alarma y llevar a las víctimas a descargar un archivo malicioso.
En estos correos electrónicos falsos, se incluye un enlace en el cuerpo del mensaje que redirige a un archivo alojado en Azure. Aunque este debería estar disponible en el servicio de Microsoft durante mucho tiempo, basta que esté disponible durante unas pocas horas para que los ciberdelincuentes logren suficientes víctimas como para hacer rentable su campaña.
El archivo que las víctimas descargan presenta un diseño más sofisticado que el de otras campañas. Incluye el icono de un documento en formato PDF, una referencia a Madrid y la fecha del día. Sin embargo, se trata de un archivo comprimido que contiene dos elementos: uno que parece ser un archivo XML legítimo, pero en realidad es una librería DLL, y otro archivo ejecutable EXE.
Un detalle importante que debería levantar sospechas es que el archivo ejecutable tiene un tamaño mucho mayor que su versión comprimida, lo que sugiere una amenaza potencial. En este caso, el troyano Grandoreiro utiliza una técnica llamada «hinchado de archivos» para evitar ser detectado por soluciones de seguridad automatizadas.
Una vez que se ejecuta el código malicioso, aparece una ventana que solicita a la víctima confirmar que es una persona y no una máquina. A pesar de este intento de ocultar la amenaza, las soluciones de seguridad de ESET identifican este troyano como una variante del troyano bancario Win32/Spy.Grandoreiro.CM.
Grandoreiro es conocido por su especialización en el robo de credenciales de servicios de banca en línea. Si los ciberdelincuentes logran obtener estas credenciales, tienen acceso para robar dinero de las cuentas de las víctimas, especialmente si engañan a los usuarios para que proporcionen los códigos de seguridad utilizados en transferencias bancarias.
Las plantillas de correos electrónicos utilizadas en esta campaña hacen referencia a empresas en países de América Latina, como México. Sin embargo, se cree que esta experiencia puede ayudar a los usuarios españoles a identificar correos electrónicos sospechosos y protegerse contra este tipo de amenazas.
Las autoridades y expertos en seguridad cibernética aconsejan a los usuarios que extremen la precaución al abrir correos electrónicos, especialmente aquellos que contienen enlaces o archivos adjuntos no solicitados. También se insta a mantener el software de seguridad actualizado para protegerse contra estas amenazas.
Por: Patricio Alvarez.