Campañas recientes de los troyanos bancarios Mekotio y Grandoreiro

Los troyanos bancarios con origen en Latinoamérica siguen protagonizando numerosas campañas a pesar de haber de llevar varios meses entre las amenazas más detectadas afectando a España y otros países. A lo largo de todo este tiempo hemos visto como dos familias se han convertido en las más predominantes en lo que respecta a campaña dirigidas a usuarios españoles e incluso hemos observado cierta colaboración entre los grupos responsables de estas amenazas.

Factura electrónica

Una de las plantillas que los delincuentes están utilizando durante los últimos días se hace pasar por una factura electrónica genérica. En este correo no se suplanta ninguna empresa ni organismo oficial y solo se menciona esta factura sin mencionar ni el importe ni el concepto. No obstante, la técnica utilizada para la descarga del malware es la misma que ya hemos observado en ocasiones anteriores, con un enlace que redirige a una web preparada por los delincuentes.

Entre las características peculiares que tiene este correo es que se pueden observar los correos a los que va dirigido. En este caso aparecen direcciones de email correspondientes a los departamentos de comunicación de varias empresas españolas, algunas de ellas muy importantes.

En lo que respecta a la descarga, el archivo comprimido preparado por los delincuentes se encuentra alojado en una web perteneciente al Ministerio de Pesca tailandés. Al tratarse de una web legitima y, además, perteneciente a una organización gubernamental los delincuentes se aseguran que, al menos durante un tiempo, no es bloqueada ya que cuenta con buena reputación.

Desde ese enlace se descarga un archivo de nombre “pdf_factura.zip” que, a su vez contiene el ejecutable “pdf_factura.msi”. Este instalador de Windows es, tal y como viene siendo costumbre en este tipo de campañas un código malicioso que actúa como downloader o descargador del troyano bancario Grandoreiro.

Este troyano se suele presentar en formato de un fichero ISO, pero en realidad se trata de un fichero comprimido y codificado en Base 64 que termina ejecutando este malware en el sistema.

Comprobante de transferencia bancaria

En lo que respecta a otra de las familias de troyanos bancarios latinoamericanos más propagada últimamente, Mekotio, se han observado campañas durante las últimas horas usando la plantilla que hace referencia a un comprobante de transferencia y que se hace pasar por el Ministerio de Hacienda suplantando su dirección de correo.

De la misma forma que en correo anterior, la técnica de los delincuentes pasa por tratar de conseguir que el usuario que recibe este email pulse sobre en enlace proporcionado pensando que así accederá al comprobante de transferencia mencionado en el email.

Si se pulsa sobre este enlace se redirigirá al usuario a una URL alojada en Azure que los delincuentes han estado utilizando recientemente (junto a otros servicios como Google Drive o Amazon Web Services) para almacenar sus amenazas. En este enlace se encuentra el fichero comprimido “DEVOLUCION_640210_EHR.zip”.

Este archivo contiene a su vez contiene los archivos “640210_EHR.msi” y “icone_1715806.gif”, donde el archivo MSI actúa como downloader o descargador del troyano bancario Mekotio. Una de las características de las últimas campañas de Mekotio es que los delincuentes detectan si el sistema operativo es de 32 o 64 bits, descargando el binario malicioso correspondiente a cada versión.

En este nuevo caso de Mekotio vemos como se vuelven a reutilizar plantillas de correo ya vistas anteriormente tanto en campañas de esta amenaza como de Grandoreiro, lo que vuelve a confirmar la colaboración entre ambos grupos criminales.

Conclusión

No parece que este tipo de campañas vayan a desaparecer a corto plazo, al menos no mientras los delincuentes sigan obteniendo beneficios sin apenas realizar cambios en sus tácticas. De los usuarios depende aprender a reconocer este tipo de correos fraudulentos y contar con una solución de seguridad que sea capaz de detectar y bloquear estas amenazas.

Josep Albors

Oleada de correos con nuevas plantillas propagan troyanos bancarios