El troyano Grandoreiro ha regresado con una nueva campaña de correos con temática fiscal en la que se hace pasar por organismos gubernamentales oficiales instando a las víctimas a descargar un archivo malicioso.
Grandoreiro es un 'malware' bancario que se distribuye desde 2017 y que ha llegado a usuarios de diferentes países del mundo, como Brasil, México, España o Perú; y que siempre llega a los usuarios a través de 'phishing'.
Investigadores de Eset han descubierto una nueva variante del troyano que logra engañar a las víctimas al hacerse pasar por organismos gubernamentales oficiales y ministerios, sin concretar a cuál pertenece.
Para engañar a un mayor número de usuarios, utiliza el dominio 'gob.es' en el remitente del correo, lo cual puede hacer pensar que se trata de un email remitido desde la Administración Pública o el Estado.
Una vez logra convencer al usuario de que se trata de un mensaje legítimo, despliega un enlace que le redirige a la descarga de un archivo fraudulento, para el que los actores maliciosos emplean un servicio de almacenamiento en la nube, como Microsoft Azure.
Una vez descargado, se puede observar que incluye un ejecutable de tamaño grande, preparado para incorporar grandes cantidades de código basura y dificultar su análisis estático, así como un fichero XML.
Una vez ejecutado el 'malware', este realiza diferentes conexiones, algunas de ellas con dominios para descargar nuevos archivos y ficheros, "lo que parecen ser configuraciones y/o comandos desde URLs ubicadas en Brasil, país de procedencia de la mayoría de familias de estos troyanos", según ha explicado la firma de ciberseguridad.
Conviene recordar que en octubre del año pasado este 'malware' actuó de nuevo a través de una campaña de 'phishing' en la que informaba a los usuarios de supuestos vencimientos de facturas para propagar nuevas muestras del troyano y robar credenciales de servicios bancarios 'online'.