Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVAS ACTIVIDADES MALICIOSAS DEL TROYANO BANCARIO GRANDOREIRO

11/12/2024

NUEVAS ACTIVIDADES MALICIOSAS DEL TROYANO BANCARIO GRANDOREIRO
El equipo del CSIRT Financiero ha identificado nuevas actividades maliciosas relacionadas con el troyano bancario Grandoreiro, un malware originario de Brasil que se distribuye a través de correos de phishing y permite a los atacantes realizar operaciones bancarias fraudulentas utilizando los equipos de las víctimas, eludiendo las medidas de seguridad implementadas por las instituciones financieras, afectando a diversas entidades bancarias a nivel global incluyendo Colombia.

Descripción

Los atacantes obtienen ganancias mediante técnicas avanzadas de engaño y manipulación, ya que hacen uso de imágenes personalizadas que solicitan información sensible como contraseñas y tokens enviados por SMS. Una vez que acceden a las cuentas bancarias de las víctimas, transfieren fondos a cuentas de terceros obtenidas a través de canales de Telegram, compran criptomonedas e incluso utilizan cajeros automáticos para retirar el dinero.

En la última campaña detectada, se han observado nuevos mecanismos que buscan evadir la detección en entornos de análisis, como la implementación de un CAPTCHA antes de ejecutar la carga útil, diseñado para eludir el análisis automático de las soluciones de ciberseguridad. También se ha identificado que el malware incluye herramientas que le permiten realizar actualizaciones automáticas, detectar soluciones de seguridad bancaria y verificar la geolocalización del equipo infectado, asegurando su activación únicamente en los países objetivos. Además, Grandoreiro puede enviarse a sí mismo mediante correos electrónicos a través de Outlook, facilitando su propagación.

Vector de infección

El vector de infección de Grandoreiro se basa en correos de phishing que contienen enlaces o archivos maliciosos. Una vez que la víctima interactúa con el contenido del correo, es redirigida a una página que utiliza un falso sistema de verificación CAPTCHA, diseñado específicamente para evadir soluciones de seguridad automatizadas y análisis en entornos sandbox. Al completar este CAPTCHA, se ejecuta la descarga de la carga útil del troyano, que luego infecta el equipo y permite a los atacantes realizar operaciones bancarias fraudulentas y exfiltrar información sensible.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Comprobar correros electrónicos enviados desde direcciones desconocidas, especialmente si incluyen archivos adjuntos o enlaces. No se deben abrir estos archivos o enlaces sin tener la certeza de que son seguros.

Leer noticia: https://securelist.com/grandoreiro-banking-trojan/114257/