Se ha descubierto que nuevas variantes de un malware bancario llamado Grandoreiro adoptan nuevas tácticas en un esfuerzo por eludir las medidas antifraude, lo que indica que el software malicioso continúa desarrollándose activamente a pesar de los esfuerzos de las autoridades para acabar con la operación.
“Sólo una parte de esta banda fue arrestada: los operadores restantes detrás de Grandoreiro continúan atacando a usuarios en todo el mundo, desarrollando nuevo malware y estableciendo nueva infraestructura”, dijo Kaspersky en un análisis publicado el martes.
Algunos de los otros trucos recientemente incorporados incluyen el uso de un algoritmo de generación de dominio (DGA) para comunicaciones de comando y control (C2), cifrado de robo de texto cifrado (CTS) y seguimiento del mouse. También se observan “versiones locales más ligeras” que están específicamente enfocadas a clientes bancarios en México.
Grandoreiro, activo desde 2016, ha evolucionado constantemente a lo largo del tiempo, esforzándose por pasar desapercibido y al mismo tiempo ampliando su alcance geográfico a América Latina y Europa. Es capaz de robar credenciales de 1.700 instituciones financieras, ubicadas en 45 países y territorios.
Se dice que opera bajo el modelo de malware como servicio (MaaS), aunque la evidencia apunta a que solo se ofrece a ciberdelincuentes selectos y socios confiables.
Uno de los acontecimientos más significativos de este año en relación con Grandoreiro es el arresto de algunos de los miembros del grupo, un evento que ha llevado a la fragmentación del código base Delphi del malware.
“Este descubrimiento está respaldado por la existencia de dos bases de código distintas en campañas simultáneas: muestras más nuevas que presentan código actualizado y muestras más antiguas que se basan en la base de código heredada, ahora dirigidas sólo a usuarios en México: clientes de alrededor de 30 bancos”, dijo Kaspersky.
Grandoreiro se distribuye principalmente a través de correos electrónicos de phishing y, en menor medida, a través de anuncios maliciosos publicados en Google. La primera etapa es un archivo ZIP que, a su vez, contiene un archivo legítimo y un cargador MSI que es responsable de descargar e iniciar el malware.
Se ha descubierto que las campañas observadas en 2023 aprovechan ejecutables portátiles extremadamente grandes con un tamaño de archivo de 390 MB haciéndose pasar por controladores SSD de datos externos de AMD para evitar las zonas de pruebas y pasar desapercibidas.
El malware bancario viene equipado con funciones para recopilar información del host y datos de ubicación de la dirección IP. También extrae el nombre de usuario y comprueba si contiene las cadenas “John” o “WORK” y, de ser así, detiene su ejecución.
“Grandoreiro busca soluciones antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan y CrowdStrike”, afirmó la empresa. “También busca software de seguridad bancaria, como Topaz OFD y Trusteer”.
Otra función notable del malware es verificar la presencia de ciertos navegadores web, clientes de correo electrónico, VPN y aplicaciones de almacenamiento en la nube en el sistema y monitorear la actividad del usuario en esas aplicaciones. Además, puede actuar como un cortapelos para redirigir las transacciones de criptomonedas a billeteras bajo el control del actor de la amenaza.
Las cadenas de ataques más nuevas detectadas después de los arrestos de este año incluyen una barrera CAPTCHA antes de la ejecución de la carga útil principal como una forma de eludir el análisis automático.
La última versión de Grandoreiro también ha recibido actualizaciones importantes, incluida la capacidad de autoactualizarse, registrar pulsaciones de teclas, seleccionar el país para enumerar a las víctimas, detectar soluciones de seguridad bancaria, usar Outlook para enviar correos electrónicos no deseados y monitorear los correos electrónicos de Outlook para palabras clave específicas.
También está equipado para capturar los movimientos del mouse, lo que indica un intento de imitar el comportamiento del usuario y engañar a los sistemas antifraude para que identifiquen la actividad como legítima.
“Este descubrimiento destaca la evolución continua de malware como Grandoreiro, donde los atacantes incorporan cada vez más tácticas diseñadas para contrarrestar las soluciones de seguridad modernas que se basan en la biometría del comportamiento y el aprendizaje automático”, dijeron los investigadores.
Una vez obtenidas las credenciales, los actores de amenazas retiran los fondos a cuentas pertenecientes a mulas de dinero locales mediante aplicaciones de transferencia, criptomonedas, tarjetas de regalo o un cajero automático. Las mulas son identificadas mediante canales de Telegram y les pagan entre 200 y 500 dólares por día.
El acceso remoto a la máquina víctima se facilita mediante una herramienta basada en Delphi llamada Operador que muestra una lista de víctimas cada vez que comienzan a navegar en el sitio web de una institución financiera específica.
“Los actores de amenazas detrás del malware bancario Grandoreiro están evolucionando continuamente sus tácticas y su malware para llevar a cabo con éxito ataques contra sus objetivos y evadir las soluciones de seguridad”, dijo Kaspersky.
“Los troyanos bancarios brasileños ya son una amenaza internacional; están llenando los vacíos dejados por las bandas de Europa del Este que han migrado al ransomware”.
