El pasado mes de enero el conocido troyano bancario Grandoreiro se vio sacudido por una operación policial internacional que consiguió detener a sus responsables e interrumpir su actividad. Sin embargo, cuatro meses después se conoció que había resurgido con fuerza, apuntando a más de 1.500 bancos de todo el mundo, y desde hace unos días está acechando a usuarios españoles, como ya había hecho en el pasado.
En esta ocasión, Grandoreiro, originario de Brasil y detectado por primera vez en España en el año 2020, se está distribuyendo en una campaña de correos electrónicos maliciosos (phishing) que utiliza como gancho supuestas facturas, un cebo recurrente tanto para los operadores de este troyano como para la ciberdelincuencia en general.
Así es el nuevo ataque de phishing que propaga a Grandoreiro
Esta nueva campaña de phishing ha sido advertida por el Instituto Nacional de Ciberseguridad (Incibe) en el último aviso que ha lanzado a la ciudadanía, tras el que emitió hace unos días para informar sobre otra que suplantaba a la Fábrica Nacional de Moneda y Timbre (FNMT) usando la técnica email spoofing.
En esta ocasión, los ciberdelincuentes detrás de Grandoreiro están tratando de difundir el malware a través de correos maliciosos que simulan proceder de grandes empresas energéticas –como Iberdrola, Endesa y Naturgy– y notifican a sus destinatarios una supuesta factura pendiente de pago, que presuntamente corresponde al mes vencido y viene adjunta en el email.
"Sin embargo, el archivo contiene un ejecutable malicioso diseñado para instalar el malware llamado Grandoreiro en el dispositivo del usuario", subraya el Incibe. "En caso de que el malware llegue a instalarse en el dispositivo, podría robar datos del usuario y enviárselo a los ciberdelincuentes para utilizarlos en futuros fraudes", apunta.
Asimismo, explica que estos correos provienen de direcciones de correo que no son oficiales, lo que debería hacer desconfiar, y que, aunque el texto del email puede parecer legítimo, ya que no contiene errores gramaticales u ortográficos, se dirige al usuario de forma genérica o utilizando el nombre del correo electrónico, un claro indicativo de que podría ser un fraude.
"Para dar más credibilidad se incluye logotipos y colores de la marca que podrían confundir al usuario a simple vista, por lo que nunca nos podemos fiar simplemente, porque el formato coincida, debemos analizar más a fondo", incide.
En cuanto a los asuntos que emplean estos correos, el Incibe indica que varían según la empresa suplantada, como demuestra aportando estas capturas sin descartar que puedan existir otros similares.
Qué hacer si se ha caído en el engaño y se ha descargado el troyano
Además de detallar en qué consiste la nueva campaña de distribución de Grandoreiro, el Incibe recomienda seguir los siguientes pasos a quienes hayan mordido el anzuelo y se lo hayan descargado.
- Desconectar de internet el equipo que haya podido verse infectado para evitar que el malware pueda propagarse a otros dispositivos de la red doméstica.
- Utilizar un antivirus para realizar un análisis exhaustivo del dispositivo en busca del malware. Si la infección persiste, considerar formatear el equipo o restablecerlo de fabrica para desinfectarlo por completo.
- Recopilar todas las evidencias que sean posibles para interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Si se tienen dudas sobre la veracidad de una comunicación de una de estas empresas, dirigirse a los apartados específicos contra este tipo de fraude en los portales de Endesa, Iberdrola y Naturgy.