Los ataques informáticos no parecen tener fin, y dentro de ellos, siempre hay alguna amenaza que parece no tener fin. Es el caso del troyano bancario Grandoreiro, que tanto ha dado que hablar durante los últimos años, una amenaza que sigue activa en muchos países, entre los que se encuentra España, y todo esto a pesar de la detención de varios de sus cabecillas en Brasil.
Un regreso esperado
No es que este regreso nos haya pillado por sorpresa ya que, aun colaborando activamente proporcionando información clave que pudiera ser usada en la operación policial que se llevó a cabo hace un año, ya teníamos constancia de la existencia de una nueva versión de Grandoreiro que estaba propagándose por América latina y, de nuevo, también por España.
La forma en la que los delincuentes han vuelto a las andadas no difiere apenas a lo que nos tenían acostumbrados. Mediante el envío de correos electrónicos suplantando a empresas y organizaciones públicas consiguen que los usuarios pulsen sobre los enlaces que han preparado. Veamos un caso reciente detectado hace apenas unas horas.
Como podemos apreciar, en el correo se menciona una supuesta factura de la distribuidora de energía Endesa, empresa que Grandoreiro y otros troyanos bancarios ya suplantaron en varias ocasiones anteriormente. Siendo una de las energéticas más importantes del país, no es de extrañar que un número importante de los usuarios que reciban este correo se piensen que están ante una comunicación legítima de la compañía. Sin embargo, hay ciertos aspectos que deberíamos revisar cuando estemos ante uno de estos correos antes de seguir sus indicaciones y, evitar así, caer en la trampa preparada por los delincuentes.
Lo primero que debemos hacer siempre es revisar el remitente del email. Es cierto que muchas campañas de correos maliciosos tratan de engañarnos para hacernos creer que están siendo enviados por una empresa de confianza. Por ese motivo es vital comprobar de donde viene realmente este mensaje y, en el caso que nos ocupa, vemos que el identificador del mensaje delata una dirección de email con dominio de Zimbawe, pista más que suficiente como para hacernos sospechar.
Además, si revisamos a donde nos lleva el enlace proporcionado antes de pulsar en él, también podemos encontrar detalles que nos indiquen que estamos ante una suplantación de identidad. En este caso en concreto vemos como se nos redirige a la descarga de un fichero ZIP alojado en un servidor en Portugal. Esta forma de distribuir el malware preparado por los delincuentes ya ha sido observada con anterioridad y no parece que quieran abandonarla a corto plazo.
Analizando la muestra
Llegados a este punto, vamos a ver si ha habido grandes cambios entre las muestras de Grandoreiro que analizábamos hace tiempo y la que se están distribuyendo actualmente. A simple vista comprobamos como se sigue descargando un fichero comprimido ZIP que contienen un instalador MSI. No obstante, el tamaño del fichero comprimido, aun siendo bastante grande para tratarse de una muestra de malware, se queda lejos de los cientos de megabytes que llegaban a ocupar anteriores campañas de Grandoreiro.
Cuando pasamos a ejecutar el archivo malicioso en un sistema de prueba vemos como los delincuentes siguen usando un señuelo en forma de barra de progreso para despistar al usuario mientras el troyano realiza su función. Esto es algo que, si bien no se ha observado en todas las campañas anteriores de Grandoreiro, sí que se ha usado en algunas de ellas, llegando a presentar incluso facturas falsas para hacer más creíble el engaño.
En lo que respecta a la cadena de infección, vemos como el fichero MSI se utiliza para descargar y ejecutar un ejecutable que es el que contiene el código del troyano bancario en sí. En este punto no vemos cambios destacables con respecto a las cadenas de infección utilizadas por versiones anteriores de Grandoreiro.
Una vez que el troyano consigue ejecutarse con éxito en el sistema de la víctima, este procede a conseguir persistencia en el sistema y a tratar de robar todas las credenciales posibles que el usuario introduzca, especialmente aquellas relacionadas con banca online, aunque también recopile otras credenciales que puedan ser usadas por los delincuentes en futuras campañas o vendidas al mejor postor.
La detección de nuevas campañas de Grandoreiro debe hacernos recordar que los delincuentes no van a dejar de intentar ganar dinero a nuestra costa. Si una técnica les ha sido exitosa en el pasado, la van a repetir todas las veces que haga falta. La buena noticia es que las mismas medidas que adoptamos para luchar contra las versiones anteriores sirven contra las nuevas, así que debemos estar atentos para detectar este tipo de mensajes fraudulentos y contar con soluciones de seguridad que nos permitan bloquear estas amenazas antes siquiera de que lleguen a nuestro buzón de entrada.
