te robará los datos bancarios

El troyano bancario Grandoreiro ha vuelto a la carga con una nueva campaña de ciberestafas, esta vez bajo la forma de correos electrónicos que pretenden suplantar a la compañía energética Endesa. Recurriendo a técnicas de phishing, en dichos correos se informa al sucesor sobre una supuesta bollo irresoluto y se le invita a descargar un archivo adjunto para consultarla.

Sin secuestro, este archivo contiene el citado malware, diseñado para robar credenciales bancarias y otra información confidencial.

¿Cómo funciona Grandoreiro?

Grandoreiro es un troyano bancario que ha estado en circulación durante abriles y ha afectado a usuarios de varios países, incluyendo España y diversas regiones de América Latina. En 2023, una operación policial con la colaboración de la compañía de ciberseguridad ESET logró detener a varios de sus principales operadores en Brasil.

Sin secuestro, allá de desaparecer, la amenaza ha evolucionado y ha regresado con una táctica conocida: el remesa masivo de correos fraudulentos que intentan engañar a las víctimas para que descarguen archivos maliciosos.

Vía ESET

Vía ESET

Si el sucesor cae en la trampa y ejecuta estos archivos, Grandoreiro se instala en el sistema mediante un procedimiento  igualmente engañoso: durante la instalación, se muestra una mostrador de progreso falsa para dar la apariencia de que se está procesando un documento seguro...

Vía ESET

...pero, mientras tanto, el malware realiza acciones en segundo plano para intentar que el sucesor no pueda desinstalarlo del sistema y, a continuación, comenzar a robar información.

La táctica de suplantación a Endesa

Estos correos maliciosos presentan ciertos detalles que permiten identificarlos como fraudulentos. Entre las principales señales de alerta están:

• Remitente sospechoso: La dirección de correo del remitente tiene un dominio de Zimbabue, lo que ya es una robusto indicación de fraude.
• Enlace bellaco: Al hacer clic en el enlace proporcionado en el correo, el sucesor es redirigido a la descarga de un archivo comprimido (ZIP) alojado en un servidor en Portugal.
• Instalador bellaco: Adentro del archivo ZIP, se encuentra un instalador (MSI) que al ejecutarse inicia la infección del sistema.

Consecuencias y medidas de protección

El objetivo principal de Grandoreiro es obtener credenciales bancarias para realizar transacciones fraudulentas o entregar estos datos en la dark web. Sin secuestro, todavía puede resumir otras credenciales sensibles que podrían ser utilizadas en futuros ataques.

Para evitar ser víctima de este tipo de estafas, es fundamental seguir una serie de buenas prácticas de ciberseguridad:

• Compulsar el remitente de los correos: Si la dirección de email no pertenece a la empresa que dice representar, es probable que se trate de una estafa.
• No hacer clic en enlaces sospechosos: Antiguamente de rasgar cualquier enlace, es recomendable acaecer el cursor sobre él para ver su destino verdadero.
• No descargar archivos de remitentes desconocidos: Si un correo electrónico no esperado contiene archivos adjuntos, es mejor eliminarlos sin abrirlos.
• Utilizar soluciones de seguridad: Contar con un antivirus actualizado puede ayudar a detectar y encerrar este tipo de amenazas antiguamente de que infecten el sistema.

Vía | Ontinet

Imagen | Marcos Merino mediante IA

En Genbeta | "Llevamos 45 días esperando que pagues la bollo": los correos de estafas se ponen bordes. Y eso ayuda a detectarlos