El troyano bancario Grandoreiro suplanta al Ministerio de Trabajo en una nueva campaña

La suplantación de ministerios es algo que se ha vuelto bastante común entre grupos de delincuentes para tratar de propagar sus amenazas y conseguir así nuevas víctimas entre usuarios de varios países. Desde los meses del confinamiento en España, son varias las campañas de malware que se han hecho pasar por alguno de estos organismos oficiales para ganarse la confianza de los usuarios y conseguir así que ejecuten código malicioso en sus ordenadores y dispositivos móviles.

Email del Ministerio de Trabajo

Entre las plantillas preferidas de los delincuentes encontramos una que utiliza la imagen del antiguo Ministerio de Empleo y Seguridad Social, actual Ministerio de Trabajo y Economía Social. No es de extrañar que los delincuentes recurran a esta plantilla, puesto que la situación económica provocada por la crisis sanitaria de la COVID-19 ha hecho que se tengan que adoptar medidas excepcionales y que muchos usuarios estén esperando cobrar un ERTE o una ayuda en forma de ingreso mínimo vital.

Por ese motivo no resulta raro que más de un usuario, al ver un correo como el que mostramos a continuación, no se lo piense dos veces al pulsar sobre el enlace proporcionado en el email, creyendo que se trata de una comunicación oficial y que tiene relación con alguna solicitud presentada.

Esta campaña utiliza un proceso de infección muy similar al que ya hemos visto en otras ocasiones. El enlace redirige a una URL que, a su vez, redirige a un fichero comprimido ZIP alojado en Dropbox. El uso de este tipo de servicios para alojar el malware es algo que se ha venido extendiendo desde hace meses y ya es frecuente ver código malicioso alojado en Dropbox, Google Drive o Azure, entre otros.

En este punto, el usuario debe decidir si abre o descarga el archivo en su equipo. De cualquiera de las formas, al revisar el contenido del archivo comprimido podemos observar como este contiene los habituales archivos MSI y GIF, tan comunes en las numerosas campañas de troyanos bancarios procedentes de Latinoamérica que hemos estado observando y analizando durante los últimos meses.

Ejecución y detección del malware

Si el usuario ejecuta el archivo MSI empezará la cadena de infección definida por los delincuentes en la que este fichero actúa como descargador del troyano bancario en el sistema de la víctima. El troyano se encuentra alojado en otro servidor controlado por los atacantes, y presenta un formato ISO característico de cierta familia de troyanos bancarios latinoamericanos especialmente activo durante los últimos meses en nuestro país.

Este archivo ISO es, en realidad, un archivo codificado que se descomprime y ejecuta en el sistema, infectándolo con el troyano bancario Grandoreiro. De esta forma, cada vez que la víctima visite alguna de las entidades bancarias que este troyano tiene definidas como objetivo, se procederá a robar sus credenciales de acceso a la banca online, pudiendo los delincuentes acceder a su cuenta y realizar movimientos de dinero sin su permiso.

No obstante, las soluciones de seguridad de ESET detectan tanto el fichero MSI original (una variante de Win32/TrojanDownloader.Banload.YOA) como el fichero ISO (una variante del troyano Grandoreiro), por lo que los usuarios que cuenten con esta solución de seguridad están protegidos frente a esta amenaza.

Conclusión

Mientras los delincuentes sigan obteniendo víctimas, este tipo de campañas no van a desaparecer. Lamentablemente, estas amenazas han encontrado un escenario ideal para su propagación por varios países fuera de su área de actuación original en Latinoamérica, países como España, Portugal y, más recientemente, Italia, donde ya se están observando campañas como las que venimos padeciendo en nuestro territorio desde hace meses.

Por suerte, la solución es sencilla, y pasa por aprender a reconocer este tipo de correos maliciosos y contar con una solución de seguridad capaz de identificar y eliminar este tipo de amenazas para mantener así a salvo nuestros datos bancarios y el dinero almacenado en las cuentas.

Josep Albors

Usan factura de DHL para intentar robar credenciales almacenadas en aplicaciones