El mundo de la ciberdelincuencia no cesa y, ni mucho menos, va a desaparecer. Es más, su presencia se nota en cada momento y no hay día en el que se produzcan altercados de ataques de phishing, smishing, sextorsión, u otro tipo de ingeniería social que intentan vaciar los bolsillos de sus víctimas.
En este contexto, como un árbol que se daba por muerto, pero que vuelve a echar raíces, Grandoreiro ha resurgido para causar el pánico entre la multitud y, esta vez, lo está consiguiendo a gran escala. Es decir, no solamente está atacando sus zonas habituales, como son los países latinoamericanos y España, sino que ahora está propagando su maldad hacia otras naciones de habla inglesa.
Una operación sin éxito
En enero de 2024, varios organismos públicos y privados de seguridad procedentes de Brasil, España (Policía Nacional y CaixaBank), Interpol y la empresa de ciberseguridad ESET pusieron en marcha una microoperación que supuso la interrupción temporal de los servidores del troyano bancario Grandoreiro, que lleva operando contra países hispanos desde el año 2017, con más de 120 millones de euros de pérdidas.
De esta manera, se pudo acceder a la estructura principal que custodiaban sus malhechores y desde la cual ponían en marcha la operativa para causar daños morales y económicos a sus víctimas. Tras desvalijar su centro de operaciones, fueron arrestadas cinco personas y llevadas a cabo trece acciones de búsqueda, según informó la policía federal de Brasil, pero jamás se proporcionaron datos de estas detenciones.
Desde aquel momento, no se ha sabido nada sobre el paradero de este malware, hasta hace pocos días. Un informe del departamento X-Force de IBM ha hecho saltar las alarmas después de desvelar el regreso de Grandoreiro con operaciones a gran escala desde marzo de 2024, ya que, al parecer, su unidad se está extendiendo a ubicaciones de otros continentes.
¿Cuáles es el nuevo modus operandi de Grandoreiro?
El departamento de IBM especializado en ciberseguridad ha identificado nuevas amenazas por parte de este maléfico virus. Concretamente, se están rastreando varias campañas de phishing que probablemente funcionan por medio de una tipología de malware como servicio denominado MaaS (Malware-as-a-Service). Esto se basa en un alquiler de los servicios de los ciberdelincuentes para realizar un ataque de malware a gran escala sin tener ningún conocimiento informático.
Esto puede sonar bastante peliagudo, y realmente es así. De hecho, solo basta hacerse con el acceso a una botnet, es decir, una red de ordenadores vulnerables a ataques de malware que se encuentran bajo control de los ciberatacantes y que emplean las herramientas necesarias para buscar más dispositivos y encontrar sus puntos débiles.
¿Y cómo se llega a instalar este tipo de malware? Se envían unos falsos correos electrónicos a usuarios aleatorios suplantando a empresas reconocidas con logotipos y dominios similares, de tal manera que te obligan a hacer clic a enlaces fraudulentos con el fin de instalar el virus.
Por consiguiente, IBM también ha puesto en circulación nuevas actualizaciones de la última variante del troyano Grandoreiro, afirmando que ahora es más efectivo y eficiente:
- Descodificador personalizado.
- Desactiva alertas de seguridad en Microsoft Outlook.
- Creación de claves de ejecución de registro.
- Control remoto de aplicaciones para carga y descarga de archivos y manipulación del navegador.
En definitiva, tenemos ante nosotros una nueva ciberamenaza rediseñada para robar todos nuestros datos bancarios. Esperemos que los diferentes organismos de seguridad empleen de nuevo sus artimañas para detener a estos individuos más pronto que tarde.
Fuente: BleepingComputer | adslzone
