Home Sociedad El troyano bancario, Grandoreiro, está de vuelta, con importantes actualizaciones

El troyano bancario, Grandoreiro, está de vuelta, con importantes actualizaciones

Un prolífico troyano bancario ha resurgido en varias campañas nuevas con una funcionalidad mejorada diseñada para convertirlo en una amenaza más potente, según una revelación de IBM.

La unidad de ciberseguridad X-Force del gigante tecnológico dijo que ha estado rastreando varias campañas de phishing a gran escala desde marzo.

Estos incluyen ataques que se hacen pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) y la Secretaría de Administración y Finanzas, así como el Servicio de Ingresos de Argentina y el Servicio de Ingresos de Sudáfrica (SARS).

“En cada campaña, los destinatarios reciben instrucciones de hacer clic en un enlace para ver una factura o tarifa, un estado de cuenta, realizar un pago, etc., dependiendo de la entidad suplantada”, dijo IBM X-Force.

“Si el usuario que hace clic en los enlaces se encuentra dentro de un país específico (según la campaña, México, Chile, España, Costa Rica, Perú o Argentina), se le redirige a una imagen de un ícono PDF y un archivo ZIP. se descarga en segundo plano. Los archivos ZIP contienen un ejecutable grande disfrazado con un ícono de PDF, que se creó el día anterior o el día en que se envió el correo electrónico”.

Este ejecutable de gran tamaño (100 MB) es el cargador Grandoreiro. El malware Grandoreiro existe desde al menos 2017, pero anteriormente estaba limitado a países de habla hispana. Las fuerzas del orden internacionales realizaron varios arrestos a principios de este año en una ofensiva contra el malware, que se dice que causó pérdidas de alrededor de 120 millones de dólares.

El nuevo Grandoreiro es una operación modular, probablemente de malware como servicio, con la capacidad de apuntar a más de 1500 aplicaciones y sitios web bancarios globales en más de 60 países en regiones como América Central y del Sur, África, Europa y el resto del mundo. Indo-Pacífico.

La última versión presenta actualizaciones de sus algoritmos de descifrado de cadenas y cálculo DGA que permiten que el malware contacte al menos 12 dominios de comando y control (C2) diferentes por día. También hay nuevas capacidades que le permiten difundirse de manera más eficiente al recopilar datos de las víctimas de clientes de correo electrónico específicos.

IBM advirtió que las actualizaciones y el aumento de aplicaciones bancarias específicas muestran que quienes están detrás de Grandoreiro buscan facilitar campañas maliciosas a una escala verdaderamente global.