El troyano Grandoreiro vuelve con una campaña de correos con temática fiscal en la que se hace pasar por organismos gubernamentales instando a las víctimas a descargar un archivo malicioso.
Grandoreiro es un ‘malware’ bancario que se distribuye desde 2017 y que llegó a usuarios de diferentes países, como Brasil, México o España; y que siempre llega a usuarios a través de ‘phishing’.
Investigadores de Eset hallaron una nueva variante del troyano que logra engañar usuarios al hacerse pasar por organismos gubernamentales oficiales y ministerios, sin concretar a cuál pertenece.
Para engañar a más usuarios, utiliza el dominio ‘gob.es’ en el remitente del correo, lo cual puede hacer pensar que se trata de un email remitido desde la Administración Pública o el Estado.
Una vez logra convencer al usuario de que se trata de un mensaje legítimo, despliega un enlace que le redirige a la descarga de un archivo fraudulento.
Y para este, los actores maliciosos emplean un servicio de almacenamiento en la nube, como Microsoft Azure.
DOMINIOS PARA DESCARGAR ARCHIVOS Y FICHEROS
Tras descargarse, se ve que incluye un ejecutable de tamaño grande, preparado para incorporar grandes cantidades de código basura y dificultar su análisis estático, así como un fichero XML.
Una vez ejecutado el ‘malware’, este realiza diferentes conexiones, algunas de ellas con dominios para descargar nuevos archivos y ficheros.
Estos “parecen ser configuraciones y/o comandos desde URLs ubicadas en Brasil, país de procedencia de la mayoría de familias de estos troyanos”.
Conviene recordar que en octubre del año pasado este ‘malware’ actuó de nuevo a través de una campaña de ‘phishing’ en la que informaba a los usuarios de supuestos vencimientos de facturas.
Esto lo hacía con el fin de propagar nuevas muestras del troyano y robar credenciales de servicios bancarios ‘online’.
Fuente: EP.
