Desde Proofpoint vienen rastreando, desde hace meses, al malware Grandoreiro del grupo de ciberdelincuentes TA2725. Hasta hace bien poco, los ataques de phishing solo estaban dirigidos hacia personas de habla portuguesa e hispana en Brasil, México y otras partes de América, pero recientemente también se han observado ataques a usuarios españoles.
El panorama de ciberamenazas ha cambiado rápidamente en los últimos años, volviéndose mucho más complicado y diverso, hasta convertir a países como Brasil en uno de los más atacados de la actualidad por su amplia adopción de servicios, como la banca online, que aumenta la base de potenciales víctimas. En concreto, el malware bancario en este país se presenta en muchas variedades, pero la mayoría parece tener un antepasado común escrito en Delphi con código fuente reutilizado y modificado a lo largo de muchos años, dando lugar a distintos tipos de malware como Javali, Casabeniero, Mekotio o Grandoreiro.
Algunas de las cepas, como es el caso de Grandoreiro, siguen en desarrollo activo, tanto su loader como la payload final. Esta variante es capaz de robar datos e información de acceso bancario a través de keyloggers y screen-grabbers, así como de superposiciones cuando una víctima infectada visita los sitios bancarios que han sido objetivo de los ciberdelincuentes. Según lo observado por Proofpoint, la entrega de este malware suele comenzar con una URL en un correo electrónico que utiliza señuelos relacionados con documentos compartidos, formularios o facturas. Si la víctima hace clic en el link, se descarga un archivo zip que contiene el loader de malware.
Normalmente, cuando estos ciberdelincuentes extranjeros quieren atacar a organizaciones españolas, utilizan malware más genérico o campañas exclusivas para adaptarse. Sin embargo, en las campañas recientes del TA2725 se incluyen entre sus objetivos bancos de España, abarcando así a múltiples regiones geográficas, sin hacer ningún cambio.
“Dado el rápido desarrollo del malware y la tenacidad de los ciberdelincuentes latinoamericanos, esperamos que estos aumenten sus objetivos en otras regiones, especialmente en España ya que comparten el mismo idioma. A medida que la cadena de suministro se vuelve más global y que las organizaciones dependen cada vez más de proveedores de otros países, los ataques desde otras partes del mundo también se volverán más frecuentes”, advierten desde el equipo de investigación de Proofpoint.