Una nueva campaña de Phishing adjudicado a Mekotio y Grandoreiro, tomó notoriedad en las ultimas horas al detectarse numerosos ataques a diferentes entidades bancarias en Argentina. El ataque consiste en el envío de un correo electrónico con enlaces o archivos adjuntos falsos que simulan pertenecer a una entidad legítima. Estos archivos, llaman la atención de los usuarios por tener asuntos o nombres como “Facturación No pagada (Segundo Aviso)” o “Reciba su Facturación No pagada (Segundo Aviso)” lo cual, inducen a las víctimas a abrir el documento e infectar el dispositivo. El Phishing actúa descargando un archivo VBS malicioso, el cual, se oculta en un archivo HTA en la carpeta pública de la víctima.

Cadena de infección de Grandoreiro utilizando VBS (TrendMicro)

Los datos existentes sobre este ataque, muestran que, entre enero y abril de 2023, Argentina registró el mayor número de detecciones relacionadas con Grandoreiro con 1.118 detecciones.

Mayor número de detecciones de Grandoreiro por país (TrendMicro)

Grandoreiro admite una variedad de comandos que permiten a los actores de amenazas controlar remotamente el sistema, realizar operaciones con archivos y habilitar modos especiales, incluido un nuevo módulo que recopila datos de Microsoft Outlook y abusa de la cuenta de correo electrónico de la víctima para enviar mensajes de spam a otros objetivos.

Fuente

https://blog.segu-info.com.ar/2024/05/grandoreiro-vuelve-mas-fuerte-que-nunca.html?utm_source=Segu.Info&utm_medium=%5BSegu.Info%5D&utm_campaign=%5BSegu.Info%5D&a

https://www.trendmicro.com/en_us/research/24/d/trend-micro-collaborated-with-interpol-in-cracking-down-grandore.html