Home Sociedad El troyano bancario, Grandoreiro, llega a Brasil

El troyano bancario, Grandoreiro, llega a Brasil

Google identificó a un grupo de amenazas con sede en Brasil que rastrea como UNC5176 y que apunta a los sectores de servicios financieros, atención médica, comercio minorista y hotelería con una puerta trasera con nombre en código URSA que puede desviar credenciales de inicio de sesión para varios bancos, sitios web de criptomonedas y clientes de correo electrónico.

Los ataques aprovechan los correos electrónicos y las campañas de publicidad maliciosa como vectores de distribución de un archivo ZIP que contiene un archivo de aplicación HTML (HTA) que, cuando se abre, suelta un script Visual Basic (VBS) responsable de contactar a un servidor remoto y recuperar un archivo VBS de segunda etapa.

Posteriormente, el archivo VBS descargado procede a realizar una serie de comprobaciones anti-sandbox y anti-VM, después de lo cual inicia comunicaciones con un servidor de comando y control (C2) para recuperar y ejecutar la carga útil URSA.

Un tercer actor latinoamericano con motivaciones financieras destacado por Google es FLUXROOT, que está vinculado a la distribución del troyano bancario Grandoreiro. La compañía dijo que eliminó páginas de phishing alojadas por el adversario en 2023 en Google Cloud que se hacía pasar por Mercado Pago con el objetivo de robar las credenciales de los usuarios.

“Más recientemente, FLUXROOT ha continuado la distribución de Grandoreiro, utilizando servicios en la nube como Azure y Dropbox para servir el malware”, dijo.

La divulgación se produce tras la aparición de un nuevo actor de amenazas denominado Red Akodon que ha sido detectado propagando varios troyanos de acceso remoto como AsyncRAT, Quasar RAT, Remcos RAT y XWorm a través de mensajes de phishing diseñados para recopilar detalles de cuentas bancarias, cuentas de correo electrónico y otros. cartas credenciales.

Los objetivos de la campaña, que ha estado en curso desde abril de 2024, incluyen organizaciones gubernamentales, de salud y educación, así como industrias financieras, manufactureras, alimentarias, de servicios y de transporte en Colombia.

“El vector de acceso inicial de Red Akodon se da principalmente a través de correos electrónicos de phishing, los cuales son utilizados como pretexto para supuestas demandas y citaciones judiciales, aparentemente provenientes de instituciones colombianas como la Fiscalía General de la Nación y el Juzgado 06 civil del circuito de Bogotá”, informó la ciberseguridad mexicana. dijo la firma Scitum.