Análisis de malware

Malware Grandoreiro: qué es, cómo funciona y cómo prevenirlo | Destacado malware

23 de junio de por Greg Belding

Introducción

Una de las pocas cosas que atrae más la atención de los investigadores de malware que los nuevos tipos de malware es el malware que expande su horizonte de ataque a nuevas áreas del mundo. Combine esto con el uso de un método relativamente desconocido para robar a los clientes de banca en línea y tendrá un malware del que seguramente escuchará hablar, por decir lo menos.

Este artículo detallará Grandoreiro. Exploraremos qué es, cómo funciona y cómo puedes evitar convertirte en una estadística más en la lucha contra el malware.

Qué es Grandoreiro?

Escrito en el lenguaje de programación Delphi, Grandoreiro es un troyano bancario de superposición remota que se ha ganado un nombre por su capacidad para robar a clientes de banca en línea y ha estado activo desde al menos.

Los troyanos bancarios de superposición remota están diseñados para permitir a los atacantes apoderarse de los dispositivos. Esto a menudo implica mostrar imágenes superpuestas (pantalla completa) en las computadoras de las víctimas cuando acceden a su cuenta bancaria en línea. Si bien este tipo de troyano bancario no recibe mucha cobertura en las noticias sobre malware, los troyanos bancarios de superposición remota pueden ser bastante devastadores, ya que permiten a los atacantes transferir dinero de manera fraudulenta desde la cuenta bancaria en línea de la víctima al atacante durante la sesión bancaria en línea de la víctima.

En la actualidad existe una amplia variedad de troyanos bancarios de superposición remota. A pesar de utilizar códigos similares, difieren en sus respectivos métodos de implementación y mecanismos de infección.

En el caso de Grandoreiro, cada vez que un usuario en una computadora infectada visita un sitio web bancario objetivo, los atacantes comenzarán a realizar transferencias fraudulentas desde la cuenta en la que el usuario inició sesión.

Los ataques de este tipo de malware han sido el flagelo de los clientes de banca en línea en América Latina desde aproximadamente y, en general, se considera la principal amenaza de la banca en línea en la región. Grandoreiro se descubrió originalmente dirigido a clientes de banca en línea en Brasil en y finalmente se expandió para incluir Perú y México. A partir de abril de, Grandoreiro amplió la lista de países que ataca para incluir a España, convirtiéndola en una amenaza global.

Es más, este malware ha demostrado una capacidad sustancial para aprovechar los acontecimientos actuales en el mundo y aumentar sus probabilidades de infectar ordenadores. Los atacantes, que alguna vez se limitaron principalmente a propagarse a través de campañas de malspam, han estado capitalizando la crisis de COVID-19 utilizando videos maliciosos con títulos que hacen referencia al virus en campañas de phishing. En lugar de echar un vistazo al COVID-19 en China, los usuarios que descargan el archivo adjunto descargan el malware Grandoreiro. Esto significa que Grandoreiro está ampliando su alcance con una mayor dependencia de diferentes métodos de entrega y reforzando la tendencia general de malware que explota el virus.

¿Cómo funciona Grandoreiro?

Grandoreiro entra en la primera etapa de infección cuando el usuario hace clic en la URL maliciosa y se descarga el cargador. La siguiente etapa de la infección implica la recuperación de la carga útil de Grandoreiro a través de una URL escrita en el código del cargador.

Una vez completadas las fases de infección, Grandoreiro recopila la siguiente información del ordenador infectado:

• Nombre de usuario
• Nombre de la computadora
• Número de bit (32 o 64) y versión del sistema operativo
• Lista de productos AV o de seguridad instalados
• La presencia de Diebold Varsovia GAS Tecnologia, una popular aplicación de protección de banca en línea en Brasil

Grandoreiro tiene capacidades de robo de credenciales en algunas versiones de Google Chrome. Configurará una extensión falsa de Google Chrome llamada Editar esta cookie, que se sospecha que respalda las capacidades de robo de información de Grandoreiro al tomar cookies de los usuarios para robar información del usuario y permitir que el atacante aproveche la sesión activa del usuario. Esto significa que el atacante no necesita controlar la computadora desde este punto.

Cada vez que un usuario de una computadora infectada visita un sitio web bancario específico, Grandoreiro se hará cargo de la sesión bancaria en línea y realizará transferencias fraudulentas a cuentas controladas por los atacantes. Aunque esta es la joya de la corona del ataque, Grandoreiro tiene otras capacidades y herramientas, incluido el registro de teclas, la actualización automática, la simulación de teclado y mouse y una puerta trasera con capacidades expansivas.

Cómo prevenir Grandoreiro

Grandoreiro se puede prevenir con buen sentido de la ciberseguridad. No hagas clic en vídeos de sitios web sospechosos. Tenga en cuenta que estos vídeos pueden intentar provocarle refiriéndose a la crisis del COVID-19 (o cualquier otra crisis contemporánea). Si no sabe quién es el remitente de un correo electrónico, no descargue archivos adjuntos ni haga clic en ningún enlace con URL desconocidas. En caso de duda, contacta con el supuesto remitente a través de un canal diferente y confirma si es legítimo.

Muchos productos de seguridad comunes pueden detectar y/o evitar que el malware infecte su computadora. Si bien esto puede ser así, la primera y mejor línea de defensa contra malware como Grandoreiro es un usuario con conocimientos de ciberseguridad. Esto se debe a que se necesita la interacción del usuario para iniciar la infección.

Conclusión

Grandoreiro es un troyano bancario de superposición remota que ha ampliado su alcance global de ataque para incluir a España. Los investigadores han observado que el malware utiliza referencias a la crisis de COVID-19 de una manera que juega con el nivel de interés del público sobre este tema delicado. Asegúrese de mantener alerta su ciberconciencia durante esta época de COVID-19, ya que cada vez más malware ha estado utilizando esta táctica insidiosa.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. Investigadores detectan un troyano bancario que utiliza la crisis #COVID19 para atacar a los usuarios , revista Infosecurity
2. Overlay Malware aprovecha el navegador Chrome, se dirige a bancos y se dirige a España , publicación de amenazas
3. Grandoreiro: ¿Qué tan lleno puede llegar a estar un EXE? , Vivimos la Seguridad
4. El malware Grandoreiro ahora apunta a los bancos en España , Security Intelligence