Grandoreiro Regresa con Nuevas Actualizaciones

En enero de 2024, una operación policial internacional con la participación de Brasil, España, Interpol, ESET y Caixa Bank interrumpió las actividades del troyano bancario «Grandoreiro«, las cuales afectaron a países de habla hispana desde 2017, causando pérdidas de 120 millones de dólares.

El equipo X-Force de IBM sostiene que «Grandoreiro» ha retomado sus operaciones a gran escala desde marzo de 2024, probablemente bajo un modelo de Malware-as-a-Service (MaaS), ahora también atacando a países de habla inglesa.

«Grandoreiro» se está difundiendo a través de una campaña de phishing en más de 60 países, dirigida a cuentas de clientes de unos 1.500 bancos. Ha sido actualizado con nuevas y poderosas características técnicas, lo que sugiere que sus creadores han sorteado a las autoridades.

Los correos electrónicos de phishing observados por IBM se hacen pasar por entidades gubernamentales en México, Argentina y Sudáfrica, como administraciones tributarias y comisiones federales de electricidad. Estos correos, instan a los destinatarios a hacer clic en enlaces para ver facturas o documentos fiscales, redirigiéndolos a un PDF que descarga un archivo ZIP que contiene el cargador «Grandoreiro«.

Las mejoras de «Grandoreiro« incluyen:

Un algoritmo de descifrado de cadenas mejorado con AES CBC y un decodificador personalizado.
Actualizaciones en el algoritmo de generación de dominios (DGA) con múltiples semillas para separar las comunicaciones C2.
Un nuevo mecanismo que deshabilita las alertas de seguridad en Microsoft Outlook y lo usa para enviar phishing.
Un nuevo mecanismo de persistencia basado en claves del Registro.
Expansión a aplicaciones bancarias y billeteras de criptomonedas.
Ampliación de comandos, incluyendo control remoto y manipulación del navegador con JavaScript.
Capacidad de perfilar detalladamente a las víctimas y decidir su ejecución.