NUEVA CAMPAÑA DE DISTRIBUCIÓN DEL TROYANO BANCARIO GRANDOREIRO
22/01/2024
Descripción
Aunque el troyano bancario Grandoreiro ha sido previamente identificado por el equipo de analistas del Csirt, estas amenazas continúan evolucionando en el ámbito de la ciberseguridad. Recientemente, se ha detectado una nueva campaña de distribución que tiene como objetivo la entrega de la carga útil de Grandoreiro a través de correos electrónicos de phishing con asuntos relacionados a supuestos vencimientos de facturas emitidas por proveedores de energía eléctrica. Grandoreiro, desarrollado en el lenguaje de programación Delphi, se enfoca en comprometer sistemas operativos Windows.
Si los destinatarios hacen clic en el enlace que tiene el cuerpo del correo, son redirigidos a la descarga de un archivo comprimido alojado en Azure. Este archivo contiene dos componentes, el primero es una librería DLL que, según fuentes de información abierta, es utilizada por los ciberdelincuentes para elevar privilegios, aunque en sí misma no representa una amenaza. El segundo archivo es un ejecutable EXE que es la carga útil del troyano bancario.
Vector de infección
Desde sus inicios, los responsables de Grandoreiro han empleado el correo electrónico como medio para su distribución, aplicando tácticas de ingeniería social. Estos ciberdelincuentes envían mensajes con asuntos que sugieren la existencia de facturas vencidas, instando a las víctimas a hacer clic en un enlace aparentemente destinado a la descarga de la factura en cuestión. No obstante, en lugar de obtener la factura, los usuarios descargan involuntariamente Grandoreiro.
Recomendaciones
- Tener especial cuidado con mensajes de correo electrónico u otras comunicaciones que pretenden suplantar organizaciones reconocidas, ya que están siendo utilizados para la distribución de troyanos.
- Establecer políticas sobre el uso de equipos y sistemas informáticos, incluyendo el acceso a Internet, el uso del correo electrónico y la descarga de archivos adjuntos.