El malware bancario Grandoreiro sigue siendo una amenaza activa a pesar de los esfuerzos que se han empleado en detenerlo. Aunque parte de la organización detrás de este malware fue desarticulada, los cibercriminales continúan desarrollando nuevas versiones y tácticas para robar el dinero de los usuarios de bancos. 

¿Por qué Grandoreiro es tan peligroso?

• Utiliza nuevos métodos cada vez más sofisticados para evadir las medidas de seguridad de los bancos, como algoritmos para generar direcciones web falsas y cifrar la información robada.
• Afecta a usuarios de todo el mundo, especialmente a Latinoamérica y Europa.
• Grandoreiro está en constante evolución, los creadores de este malware están continuamente actualizándose para mantenerlo un paso por delante de las medidas de seguridad.
• Es capaz de atacar a maś de 1.700 instituciones financieras en 45 países.

Se dice que Grandoreiro opera bajo el modelo de malware como servicio (MaaS), aunque las pruebas apuntan a que sólo se ofrece a ciberdelincuentes selectos y socios de confianza. Esto quiere decir que otros cibercriminales pueden “alquilar” Grandoreiro para robar. 

La detención de algunos de sus creadores ha tenido consecuencias para este malware, pues el código se ha dividido en dos versiones: una más nueva y actualizada, y otra que se basa en la base de código heredada, que ahora está más enfocada sólo a usuarios en México. 

¿Cómo se propaga Grandoreiro?

• Correo electrónico: La forma más común es a través de correos electrónicos engañosos (phishing).
• Anuncios falsos: En menor medida, se utilizan anuncios en Google que, al darle clic, se descarga el malware.

Así, el proceso de infección es bastante sencillo: un usuario recibe un correo electrónico o hace clic en un anuncio malicioso, éste clic provoca que se descargue un archivo comprimido (ZIP), dentro de este ZIP hay un programa legítimo que sirve de camuflaje y un instalador (MSI) que descarga y ejecuta el malware.

Grandoreiro se ha vuelto más sofisticado y evasivo. Las últimas versiones de este malware han mostrado varias novedades diseñadas para pasar desapercibidas y dificultar su detección:

• Camuflaje: se hace pasar por controladores de SSD de AMD para evitar ser detectados en entornos aislados.

Certificado digital que utiliza Grandoreiro

• Tamaño descomunal: los archivos ejecutables son extremadamente grandes (390 MB), lo que puede despistar a algunos sistemas de seguridad.
• Evasión de software de seguridad: el malware busca activamente y evita una amplia gama de antivirus y de seguridad, incluyendo soluciones especializadas para la seguridad bancaria.
• Recopilación de información: obtiene datos del sistema infectado, como la ubicación geográfica, el nombre de usuario y el software instalado.
• Supervisión de actividades: monitorea la actividad del usuario en navegadores, clientes de correo electrónico y aplicaciones de almacenamiento en la nube, con el objetivo de robar credenciales y redirigir transacciones.
• Barreras CAPTCHA: incorpora CAPTCHAs para dificultar el análisis automático del malware.
• Autoactualización: puede actualizarse automáticamente para mantenerse al día con las nuevas vulnerabilidades y técnicas de seguridad.
• Registro de keystrokes: registra cada tecla que se presiona en el teclado, lo que permite a los atacantes robar contraseñas y otra información sensible.
• Selección de objetivos: puede seleccionar países específicos para dirigir sus ataques, lo que le permite personalizar sus campañas.
• Evasión de soluciones de seguridad: detecta y evita una amplia gama de soluciones de seguridad bancaria, lo que dificulta su detección.
• Spam y supervisión de correos: utiliza Outlook para enviar spam y supervisar los correos electrónicos en busca de palabras clave relacionadas con transacciones financieras.
• Monetarización: los fondos robados se transfieren a cuentas de mulas de dinero a través de diversas vías, como aplicaciones de transferencia, criptomonedas, tarjetas regalo o cajeros automáticos. Las mulas se identifican a través de canales de Telegram, pagándoles entre 200 y 500 dólares al día.

La mejor defensa contra amenazas como Grandoreiro es la combinación de precaución y el uso de herramientas de seguridad adecuadas, al seguir las siguientes pautas, puedes reducir significativamente el riesgo de ser víctima de un ciberataque:

• Asegurarse que el sistema operativo, antivirus y otros programas estén siempre actualizados con los últimos parches de seguridad.
• No abras correos electrónicos de remitente desconocido, especialmente aquellos que contengan archivos adjuntos o enlaces.
• Crea contraseñas seguras y únicas para cada una de tus cuentas en línea. Utiliza un gestor de contraseñas para almacenarlas de forma segura.
• Activa la autenticación de dos factores en tus cuentas en línea. Esto añadirá una capa adicional de seguridad y dificulta que los ciberatacantes accedan a tus cuentas.
• Antes de introducir información personal o financiera en un sitio web, verifica que sea seguro. Busca el candado en la barra de direcciones y asegúrate de que la URL comience con «https».
• Evita hacer clic en anuncios que aparezcan en sitios web desconocidos o que te prometan ganancias fáciles.
• Realiza copias de seguridad regulares de tus datos importantes para poder restaurarlos en caso de que tu equipo sea infectado por un malware.

Más información:

• New Grandoreiro banking malware variants emerge with advanced tactics to evade detection: https://www.betterworldtechnology.com/post/new-grandoreiro-banking-malware-variants-emerge-with-advanced-tactics-to-evade-detection
• Grandoreiro, the global trojan with grandiose goals: https://securelist.com/grandoreiro-banking-trojan/114257/
• New Grandoreiro banking malware variants emerge with advanced tactics to evade detection: https://thehackernews.com/2024/10/new-grandoreiro-banking-malware.html