Grandoreiro es un troyano bancario que ha evolucionado para convertirse en una de las amenazas cibernéticas más peligrosas a nivel mundial. Inicialmente dirigido a países de habla hispana, ahora ataca a más de 1.500 bancos en 60 países diferentes. Desarrollado en Brasil, este malware ha sido actualizado con nuevas características que amplían su alcance y efectividad, haciendo de él un reto significativo para la ciberseguridad global.

¿Qué es Grandoreiro?

El troyano bancario Grandoreiro ha sido una amenaza constante en los países de habla hispana desde 2017. Según Interpol, este malware permite a los ciberdelincuentes tomar control de los dispositivos infectados, registrar teclas pulsadas, manejar ventanas y procesos, abrir navegadores y ejecutar JavaScript dentro de ellos, subir o descargar archivos y enviar correos electrónicos, además de sus capacidades de troyano bancario.

Análisis de distintas campañas de ataque revelan que muchos operadores están involucrados en las actividades de Grandoreiro. Como indicó Kaspersky en julio de 2020, “No es posible vincular este malware a un grupo específico de cibercrimen, aunque está claro que la campaña utiliza un modelo de negocio MaaS (Malware-as-a-Service)“.

Funcionamiento de las campañas de Grandoreiro

Comienzo con Correos Electrónicos de Phishing

Todas las campañas de Grandoreiro inician con correos electrónicos de phishing. Desde marzo de 2024, varias campañas han suplantado a entidades mexicanas como el Servicio de Administración Tributaria, la Comisión Federal de Electricidad de México o el Servicio de Rentas de Argentina. Estos correos usan técnicas de ingeniería social para atraer al usuario a hacer clic en un enlace, como avisos de deuda, recordatorios de extractos de cuenta o avisos de cumplimiento.

En estas campañas, solo los usuarios de países específicos como México, Chile, España, Costa Rica, Perú y Argentina son redirigidos a un payload al hacer clic en el enlace del correo.

Cadena de Infección

Tras el clic en el enlace malicioso del correo, se lanza un cargador personalizado que presenta un captcha falso de Adobe PDF Reader, probablemente para distinguir entre usuarios reales y sistemas automatizados como sandboxes. Luego, el cargador recopila datos de la víctima y los envía al servidor de comando y control (C2) usando algoritmos de cifrado AES y base64. Estos datos incluyen nombres de computadora y usuario, versión del sistema operativo, nombre del antivirus, dirección IP pública y una lista de procesos en ejecución.

El cargador también verifica la existencia del cliente Microsoft Outlook, carteras de criptomonedas y productos de seguridad bancaria específicos como IBM Trusteer o Topaz OFD. Si se cumplen todas las condiciones, el troyano bancario Grandoreiro se descarga, se descifra mediante un algoritmo basado en RC4 y se ejecuta.

Ampliación del alcance de Grandoreiro

Grandoreiro ha ampliado su lista de aplicaciones bancarias objetivo a más de 1,500 bancos en todo el mundo. Las aplicaciones bancarias están también asociadas a regiones específicas. Por ejemplo, si la víctima se encuentra en Bélgica, el malware buscará todas las aplicaciones bancarias objetivo asociadas a la región europea. Además, el malware utiliza 266 cadenas únicas para identificar carteras de criptomonedas.

Actualizaciones recientes en Grandoreiro

Nuevo Algoritmo DGA

Investigadores Golo Mühr y Melissa Frydrych analizaron a fondo el malware y encontraron que, tradicionalmente, se basaba en algoritmos de generación de dominios (DGA) para encontrar referencias a su servidor C2. El nuevo algoritmo introduce múltiples semillas para su DGA, lo que permite calcular un dominio diferente para cada modo o funcionalidad del troyano bancario, permitiendo la separación de tareas C2 entre varios operadores como parte de su operación MaaS.

Abuso de Microsoft Outlook

Las versiones recientes de Grandoreiro abusan del software local Microsoft Outlook cuando está disponible en un ordenador infectado. El malware interactúa con la herramienta Outlook Security Manager, diseñada para desarrollar complementos de Outlook. Esto permite al malware desactivar alertas dentro de Outlook antes de empezar a recolectar todas las direcciones de correo encontradas en el buzón de la víctima. Luego, el malware filtra las direcciones para evitar recolectar aquellas no deseadas, como las que contienen “noreply”, “feedback” o “newsletter”.

El malware escanea carpetas del sistema de la víctima en busca de más direcciones de correo, buscando archivos con extensiones específicas como .csv, .txt, .xls y .doc. Luego, comienza a enviar spam basado en plantillas de phishing recibidas desde su servidor C2, antes de borrar todos los correos enviados del buzón de la víctima.

Para evitar ser detectado, el malware solo empieza a enviar correos cuando la última entrada en la máquina tiene al menos cinco minutos de antigüedad o más en algunas variantes del malware.

Cómo protegerse de la amenaza de Grandoreiro

1. Realizar análisis de red detallados. Las solicitudes consecutivas a ip-api.com/json deben desencadenar alertas e investigaciones, ya que podrían indicar una infección por Grandoreiro.
2. Monitorear las claves de ejecución en el registro de Windows. Cualquier adición fuera de una instalación de software normal debe investigarse de cerca para detectar actividad maliciosa.
3. Bloquear dominios DGA pre-calculados a través de DNS.
4. Desplegar software de seguridad en todos los dispositivos para detectar malware.
5. Educar a los usuarios y al personal para detectar correos electrónicos de phishing y posibles intentos de fraude.
6. Mantener todo el hardware y software actualizado y parcheado para evitar infecciones a través de vulnerabilidades comunes.

Reflexiones finales

El malware Grandoreiro representa una amenaza creciente y sofisticada para la ciberseguridad global. Su capacidad para adaptarse y expandir su alcance a más de 60 países y 1,500 bancos lo convierte en un desafío significativo para las instituciones financieras y los equipos de seguridad. La adopción de medidas de protección robustas y la educación continua de los usuarios son esenciales para mitigar esta amenaza.