Campañas sucesivas propagan troyanos bancarios brasileños entre usuarios españoles

Las campañas de propagación del troyano bancario Grandoreiro llevan varias semanas siendo una constante desde que, a principios de julio, comenzase a propagarse de nuevo tras varias semanas de poca actividad. En los últimos días hemos observado cómo se ha intensificado esta actividad con varias campañas seguidas que pasamos a comentar a continuación.

Suplantación de la Agencia Tributaria

Parece que la técnica de suplantar a la Agencia Tributaria española les ha gustado a los delincuentes detrás del troyano bancario Grandoreiro. Si hace una semana vimos que suplantaban a este organismo oficial mediante un correo electrónico fraudulento, desde hace unos días hemos detectado nada menos que otras tres campañas con la misma temática.

El primero de estos envíos de correos maliciosos se realizó el pasado viernes 14 de agosto y se identificaba como procedente de la Administración Tributaria, a pesar de que el correo desde donde se enviaba no parecía tener relación alguna con este organismo oficial.

En ese email vemos como se nos invita a descargar un fichero zip desde un enlace proporcionado en el mismo correo. Además, en este y otros casos que veremos a continuación, también se observa un fichero adjunto de nombre 04082020.PDF.html que contiene un enlace acortado y que descarga el mismo fichero .zip.

Una campaña similar observamos el lunes 17 de agosto con un mensaje idéntico al que acabamos de ver, pero sin identificarse esta vez como la Agencia Tributaria. Este punto resulta interesante, ya que para el envío de este correo se utilizó una dirección de email de Brasil, lugar de procedencia de esta y otras familias de troyanos bancarios como Mekotio, Mispadu o Casbaneiro.

También vemos como, en lugar del archivo .html adjunto, aquí solamente encontramos una imagen, confiando los delincuentes únicamente en que su víctima pulse sobre el enlace proporcionado para iniciar la cadena de infección. Esta cadena es la habitual observada en las muestras que venimos analizando desde hace semanas, y se inicia con una redirección a un enlace perteneciente a Dropbox, donde se aloja el fichero .zip con la primera fase del ataque.

Este fichero suele contener un archivo .msi malicioso y otro legítimo de un formato variable (en esta ocasión, un .gif). Cuando el usuario ejecuta el fichero .msi vuelca en el disco un archivo que hace las funciones de “downloader” o descargador de la amenaza, realizándose una conexión a un servidor controlado por los atacantes que descarga el payload de Grandoreiro en formato .iso.

En las últimas horas también se ha observado otra campaña de envío de emails que también utilizan a la Agencia Tributaria como gancho, aunque en esta ocasión se trata de otra familia de troyanos bancarios brasileños, concretamente Mekotio.

El funcionamiento de la cadena de infección de Mekotio empieza por la conexión con una web controlada por los delincuentes y que normalmente se trata de una web legítima que ha sido comprometida (en este caso, la de una universidad peruana). Desde esa web se procede a descargar un fichero .zip que, tal y como sucede con las muestras de Grandoreiro, contiene en su interior un archivo .msi malicioso.

Este fichero .msi contiene código JavaScript en su interior encargado de descargar la variante del troyano bancario correspondiente, dependiendo de si el sistema en el que se ha ejecutado es de 32 o de 64 bits. El archivo que contiene el troyano bancario Mekotio se descarga desde una web legítima que también ha sido comprometida por los delincuentes. Un apunte interesante de esta variante de Mekotio es que los delincuentes utilizan un script y un intérprete de AutoHotkey para la ejecución del malware, además de tener el payload empaquetado con el clásico packer Themida.

Otras campañas

Además de estas campañas suplantando a la Agencia Tributaria, en los últimos días también hemos visto actividad del troyano bancario Grandoreiro suplantando a otras empresas. Un ejemplo lo tenemos en el email que se hacía pasar por Vodafone recibido el lunes 17 de agosto. A pesar de que se está usando la imagen de esta empresa de telecomunicaciones, el remitente es muy parecido al utilizado en uno de los correos anteriores, haciendo mención de nuevo a la Agencia Tributaria.

Sin embargo, si nos fijamos en el Return path del mensaje comprobaremos como el emisor real no tiene nada que ver ni con este organismo oficial ni con Vodafone, utilizándose una dirección como root[at]qws5.rwyazbek[.]com donde el número va variando dependiendo de la campaña utilizada.

Este correo vuelve a adjuntar el mismo fichero .html que hemos visto anteriormente y contiene el mismo enlace acortado que redirige a la descarga del fichero .zip. Esta descarga también se realiza mediante el enlace que los delincuentes han incluido dentro del correo con el sugerente nombre de “Descargar la factura”, habiendo registrado, como en la mayoría de los  casos anteriores, un dominio solo para esta campaña para iniciar una cadena de infección muy similar a la que ya hemos analizado en casos anteriores.

Como apunte curioso, en la tarde/noche del lunes 17 de agosto también observamos una campaña que utilizaba el nombre de la popular aplicación de mensajería WhatsApp y que nos invitaba a descargar nuestro historial de conversaciones.

Este email que decía provenir desde WhatsApp venía realmente de una dirección de email con un formato idéntico al visto en el ejemplo anterior, contenía el mismo fichero .html adjunto y usaba el mismo dominio de correo registrado ese mismo día para descargar los archivos relacionados con la cadena de infección de Grandoreiro.

Conclusión

Acabamos de ver como en apenas tres días se han detectado varias campañas del troyano bancario Grandoreiro y una de Mekotio que tienen a usuarios españoles en su punto de mira. Estas campañas demuestran el interés de los delincuentes detrás de estas amenazas por conseguir víctimas de varios países, además de los de su región, tal y como venimos observando en los últimos meses.

Para evitar ser víctima de estas amenazas que pueden vaciar nuestra cuenta corriente es importante revisar atentamente todo tipo de correos no solicitado que recibamos, aunque provengan de empresas reconocidas y organismos oficiales. En caso de tener alguna duda de su autenticidad, siempre es mucho más recomendable acceder de forma manual a las webs oficiales, antes de pulsar sobre el enlace o abrir el fichero adjunto que pueda venir junto al correo, además de contar con una solución de seguridad que sea capaz de detectar y eliminar este tipo de amenazas.

Josep Albors

Indicadores de compromiso:

Remitentes correo:

contacto[at]aaccesofinanciero[.]es

contacto[at]aaccesofinanciero[.]com

root[at]qws5[.]rwyazbek[.]com

patricio.guida[at]consorcioescc[.]com[.]br

Enlaces descarga muestras:

hxxp://http[.]guccelo[.]com/archivo

hxxps://bit[.]ly/3fUGfoB

hxxp://http[.]alisulr[.]com/expansión

hxxp://www[.]lafacturaservicios[.]com/asesora

hxxp://unheval[.]edu[.]pe/cepreval/web/images/

hXXps://www.dropbox[.]com/s/9isibr9e8t9oko3/05105ASarchivos054RAJZadjuntos[.]zip?dl=1 

hXXps://www.dropbox[.]com/s/rs3ylqkczbu4ras/AZSERDescargar_QWRT054RAJ[.]zip?dl=1

hXXp://89.44.9[.]163:4451/ntfctormgruz50[.]iso 

hXXps://madoohome[.]com/files/ezemefourntentaenina[.]djx 

hXXps://madoohome[.]com/files/ezemefourntentaeninb[.]djx 

Hashes

095C94259D6E14B192A3D562071A6D67C4B536D0

9FF2207C66D1F02C128C0B95636BBFD20AC3CC74

31678C7CAE2181EDA6CA837DB0A3AFB4C67D19D8                

1D64697BFF500650CCC0B5FEEB37240800AB9635

F1D88032BBC48766DCF2552E78448AEBEB5B970F

E9E1ECCBDBA477E992D282D8E2A3855C35AFFE39

79C2C6E16D566912EB10CCA2895539B9ADB88CDB

675A1ED60C1566013F488E1006B2CD45D9BEF253

53F20CEB22FE141DC0E117470331D04252B53EEC

5F968F58C8CB23143B693B82B2EA6259BE981D0C

D688404CAD389D4E398ED81B37F7918B2D54B02E

2D841F3928CCA9796B0CBD0A257885D5E08AE43B

6660A03BD733538C7FA3052542C474C55C8F683A

8A91E1B1EB4623AB26C45FFAD9B326B58585D5E4

«Tu fotografía participa en un concurso». SMS usado para propagar malware en Android