El troyano bancario Grandoreiro vuelve a casa por Navidad

Según ha informado ESET, Grandoreiro ha vuelto a protagonizar una campaña, dirigida a países de habla hispana; sobre todo ha llegado a España, pero también se ha detectado en México y Argentina. Este malware, activo desde al menos el 2020, es un troyano bancario que se distribuye en correos electrónicos de phishing con falsos documentos PDF que ocultan archivos maliciosos.

Para la ocasión, los mensajes iniciales suplantan a entidades como el Gobierno de España, la Policía Nacional o agencias que en teoría realizan trámites administrativos. También se hacen pasar por empresas como Endesa, Naturgy, Iberdrola o Movistar… Además de centros hospitalarios. Cualquier cosa es válida si consigue atrapar el interés de los usuarios.

En todos los casos, la intención es que la víctima haga clic en un enlace que está incluido en el mensaje y que lleva a una web ubicada en un servicio legítimo de alojamiento. Lo que no es tan legítimo es el archivo que se descarga: en lugar de un PDF es un fichero ISO que contiene el script VBS que es el que inicia la cadena de infección. Y lo hace mientras el usuario está distraído con ventanas emergente que suplantan a Adobe…

Josep Albors, director de Investigación y Concienciación de ESET España, explica que “los delincuentes reutilizan plantillas y técnicas ya conocidas, pero lo hacen de forma masiva para aumentar el número de víctimas potenciales. El simple hecho de que no introduzcan novedades no reduce el riesgo, ya que muchos usuarios siguen cayendo en este tipo de engaños. Aprender a identificar estos correos fraudulentos y mantener una solución de seguridad adecuada puede marcar la diferencia”.