20 may 2024

#Grandoreiro, el troyano bancario, vuelve más fuerte que nunca

Los actores de amenazas detrás del troyano bancario Grandoreiro basado en Windows han regresado en una campaña global desde marzo de 2024, luego de una eliminación policial en enero.

  • Grandoreiro es un troyano bancario multicomponente que funciona como malware como servicio (MaaS).
  • Se utiliza activamente en campañas de phishing haciéndose pasar por entidades gubernamentales en México, Argentina y Sudáfrica.
  • El troyano bancario se dirige específicamente a más de 1.500 aplicaciones y sitios web bancarios globales en más de 60 países, incluidas regiones de América Central y del Sur, África, Europa y el Indo-Pacífico.
  • La última variante contiene actualizaciones importantes que incluyen descifrado de cadenas y cálculo DGA, lo que permite al menos 12 dominios C2 diferentes por día.
  • Grandoreiro admite la recopilación de direcciones de correo electrónico de hosts infectados y el uso de su cliente Microsoft Outlook para enviar más campañas de phishing.

Según el nuevo informe de IBM X-Force, si bien Grandoreiro es conocido principalmente por su enfoque en América Latina, España y Portugal, la expansión probablemente sea un cambio de estrategia después de los intentos de las autoridades brasileñas de cerrar su infraestructura.

Desde marzo de 2024, X-Force ha observado campañas de phishing haciéndose pasar por el Servicio de Administración Tributaria (SAT) de México, la Comisión Federal de Electricidad (CFE) de México, la Secretaría de Administración y Finanzas de la Ciudad de México y el Servicio de Impuestos AFIP de Argentina. Los correos electrónicos están dirigidos a usuarios de América Latina, incluidos dominios de nivel superior (TLD) de México, Colombia y Chile ".mx", ".co", ".ar" y ".cl".

De la mano de una huella de ataque más amplia, se encuentran mejoras significativas en el propio malware, lo que indica un desarrollo activo. "El análisis del malware reveló actualizaciones importantes dentro del algoritmo de descifrado de cadenas y generación de dominios (DGA), así como la capacidad de utilizar clientes Microsoft Outlook en hosts infectados para difundir más correos electrónicos de phishing", dijeron los investigadores de seguridad Golo Mühr y Melissa Frydrych.

Los ataques comienzan con correos electrónicos de phishing que instruyen a los destinatarios a hacer clic en un enlace para ver una factura o realizar un pago, según la naturaleza del señuelo y la entidad gubernamental suplantada en los mensajes. Los usuarios que terminan haciendo clic en el enlace son redirigidos a una imagen de un ícono de PDF, lo que finalmente conduce a la descarga de un archivo ZIP con el ejecutable del cargador Grandoreiro.

El cargador personalizado se "infla" artificialmente a más de 100 MB para evitar el software de escaneo antimalware. También es responsable de garantizar que el host comprometido no se encuentre en un entorno aislado, recopilar datos básicos de la víctima en un servidor de comando y control (C2) y descargar y ejecutar el principal troyano bancario. Para eludir la ejecución automatizada, muestra una pequeña ventana emergente CAPTCHA que imita al lector de PDF de Adobe, el cual requiere un clic para continuar con la ejecución.

Vale la pena señalar que el paso de verificación también se realiza para omitir sistemas geolocalizados en Rusia, Chequia, Polonia y los Países Bajos, así como máquinas con Windows 7 basadas en los EE.UU. sin antivirus instalado.

El componente troyano comienza su ejecución estableciendo persistencia a través del Registro de Windows, después de lo cual emplea un DGA rediseñado para establecer conexiones con un servidor C2 para recibir más instrucciones.

Grandoreiro admite una variedad de comandos que permiten a los actores de amenazas controlar remotamente el sistema, realizar operaciones con archivos y habilitar modos especiales, incluido un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima para enviar mensajes de spam a otros objetivos.

"Para interactuar con el cliente Outlook local, Grandoreiro utiliza la herramienta Outlook Security Manager, un software utilizado para desarrollar complementos de Outlook. La razón principal detrás de esto es que Outlook Object Model Guard activa alertas de seguridad si detecta acceso a objetos protegidos".

Al utilizar el cliente Outlook local para enviar spam, Grandoreiro puede propagarse a través de las bandejas de entrada de las víctimas infectadas a través del correo electrónico, lo que probablemente contribuye a la gran cantidad de volumen de spam observado en Grandoreiro.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!