Nuevas variantes de un malware bancario llamado Grandoreiro han adoptado nuevas tácticas para tratar de eludir las medidas antifraude, lo que indica que el malware continúa desarrollándose activamente a pesar de los esfuerzos de las autoridades para combatirlo.
«Sólo se ha detenido a una parte de esta pandilla: los operadores restantes detrás de Grandoreiro continúan atacando a usuarios de todo el mundo, desarrollando nuevo malware y estableciendo nueva infraestructura», Kaspersky dicho en un análisis publicado el martes.
Algunos de los otros trucos incorporados recientemente incluyen el uso de un algoritmo de generación de dominio (DGA) para comunicaciones de comando y control (C2), robo de texto cifrado (cts) cifrado y seguimiento del mouse. También estamos viendo “versiones locales más ligeras” específicamente enfocadas a clientes bancarios en México.
Grandoreiro, activo desde 2016, ha evolucionado constantemente con el tiempo, esforzándose por permanecer indetectable, mientras expande su alcance geográfico a América Latina y Europa. Es capaz de robar las credenciales de 1.700 instituciones financieras, ubicadas en 45 países y territorios.
Según se informa, opera bajo el modelo MaaS (malware como servicio), aunque la evidencia indica que solo se ofrece a ciertos ciberdelincuentes y socios confiables.
Una de las novedades más significativas de este año con respecto a Grandoreiro es el arresto de algunos miembros del grupo, evento que provocó la fragmentación del código base Delphi del malware.
«Este hallazgo está respaldado por la existencia de dos bases de código distintas en campañas simultáneas: muestras más nuevas que contienen código actualizado y muestras más antiguas que se basan en la base de código anterior, que ahora están dirigidas solo a usuarios en México, es decir, clientes de alrededor de 30 bancos», dijo Kaspersky. .
Grandoreiro se distribuye principalmente a través de correos electrónicos de phishing y, en menor medida, a través de anuncios maliciosos publicados en Google. El primer paso es un archivo ZIP que, a su vez, contiene un archivo legítimo y un cargador MSI responsable de descargar e iniciar el malware.
Se descubrió que las campañas observadas en 2023 explotaban ejecutables portátiles extremadamente grandes con un tamaño de archivo de 390 MB haciéndose pasar por controladores SSD de datos externos de AMD para evitar las zonas de pruebas y pasar desapercibidos.
El malware bancario viene con funciones para recopilar información del host y datos de ubicación de la dirección IP. También extrae el nombre de usuario y comprueba si contiene las cadenas «John» o «WORK» y, en caso afirmativo, detiene su ejecución.
«Grandoreiro busca soluciones antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan y CrowdStrike», dijo la empresa. «También busca software de seguridad bancaria, como Topaz OFD y Trusteer».
Otra función notable del malware es verificar la presencia de ciertos navegadores web, clientes de correo electrónico, VPN y aplicaciones de almacenamiento en la nube en el sistema y monitorear la actividad del usuario en estas aplicaciones. Además, puede actuar como un cortapelos para redirigir las transacciones de criptomonedas a billeteras bajo el control del actor de la amenaza.
Las nuevas cadenas de ataques detectadas tras los arrestos de este año incluyen una barrera CAPTCHA antes de que se ejecute la carga útil principal para evitar el escaneo automático.
La última versión de Grandoreiro también ha recibido actualizaciones importantes, incluida la capacidad de actualización automática, registrar pulsaciones de teclas, seleccionar país para enumerar víctimas, detectar soluciones de seguridad bancaria, usar Outlook para enviar spam y monitorear correos electrónicos de Outlook para palabras clave específicas.
También está equipado para capturar los movimientos del ratón, lo que indica un intento de imitar el comportamiento del usuario y engañar a los sistemas antifraude para que identifiquen la actividad como legítima.
«Este descubrimiento pone de relieve la continua evolución de malware como Grandoreiro, donde los atacantes incorporan cada vez más tácticas diseñadas para contrarrestar las soluciones de seguridad modernas que se basan en la biometría del comportamiento y el aprendizaje automático», dijeron los investigadores.
Una vez obtenidas las credenciales, los delincuentes cobran los fondos en cuentas pertenecientes a mulas locales mediante aplicaciones de transferencia, criptomonedas, tarjetas de regalo o un cajero automático. Las mulas son identificadas a través de canales de Telegram, pagándoles entre 200 y 500 dólares por día.
El acceso remoto a la máquina víctima se facilita mediante una herramienta basada en Delphi llamada Operador que muestra una lista de víctimas cada vez que comienzan a navegar por el sitio web de una institución financiera específica.
«Los autores de malware bancario Grandoreiro evolucionan continuamente sus tácticas y malware para llevar a cabo ataques contra sus objetivos y evadir las soluciones de seguridad», dijo Kaspersky.
“Los troyanos bancarios brasileños ya representan una amenaza internacional; llenan el vacío dejado por las bandas de Europa del Este que migraron al ransomware. »
