Una de las tácticas más efectivas a las que recurren los ciberdelincuentes para intentar colar troyanos a sus víctimas consiste en enviar correos electrónicos con asuntos que despierten interés. La compañía de ciberseguridad ESET informa que, al captar la atención del internauta, hay más probabilidades de que clique en un enlace fraudulento o se instale un archivo adjunto que esconda un virus informático.
Con esta estrategia, los estafadores están comenzando a difundir de nuevo el malware bancario Grandoreiro. Según advierte Josep Albors, director de investigación y concienciación de ESET España, en esta ocasión, los delincuentes informáticos están suplantando un supuesto organismo gubernamental, aunque no especifican cuál.
El correo electrónico está redactado de forma que no entra en muchos detalles. Así, el usuario se queda con la duda y entra en el enlace compartido para, supuestamente, descargar un informe que, en realidad, es un troyano.
¿Cómo es el mensaje fraudulento?
En las imágenes compartidas, se puede leer que el email lo envía alguien de un supuesto Departamento de Cumplimiento Fiscal que no existe de un Ministerio Público que no concretan cuál es. La dirección de correo que lo manda es rodriguez@gob.es, pero está firmado por una tal María Sánchez. Por lo tanto, el mensaje está lleno de incongruencias.
La finalidad del correo, según Albors, es tratar de convencer al usuario de que pinche en un enlace. En este caso, lo hacen a través de un supuesto reporte jurídico del que no especifican en qué consiste. Ante la duda, muchos usuarios clicarán en el link y este se encarga de redirigir al dispositivo a la descarga de un archivo malicioso a través de un servicio de almacenamiento en la nube.
El fichero compartido está comprimido y dentro hay dos archivos. Uno es un ejecutable de gran tamaño (143,3 MB) que está preparado para crear grandes cantidades de código basura y dificultar así su análisis estático. El otro es un archivo XML, utilizado como parte de la configuración que preparan los delincuentes.
Lo que pasa si ejecutamos el troyano Grandoreiro
En el post de ESET, Albors aclara que, una vez las víctimas instalan el malware, este realiza numerosas conexiones. Lo más reseñable es que algunos dominios se usan para descargar nuevos archivos y muchos son configuraciones y/o comandos desde URLs ubicadas en Brasil.
Los investigadores mencionan que de dicho país proceden la mayoría de las familias de troyanos bancarios que llegan a España (y Portugal) como Grandoreiro. Este virus está presente en la Península Ibérica desde hace al menos cuatro años y, pese a no evolucionar demasiado en sus vectores de ataque y plantillas de correo usadas, parece que sigue teniendo éxito.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios