Falsa denuncia de la Policía Nacional usada para propagar el troyano bancario Grandoreiro

A lo largo de los años hemos visto como aquellas amenazas que utilizan el correo electrónico como principal vector de ataque han ido utilizando varios asuntos para captar la atención de los usuarios. Los que mejor han funcionado para los ciberdelincuentes, y siguen haciéndolo, son aquellos relacionados con asuntos que afectan a nuestra cartera, ya sea el pago de multas, problemas para acceder a nuestra cuenta bancaria o tarjeta de crédito o las supuestas facturas de servicios contratados pendientes de pago. Sin embargo, estos no son, ni mucho menos, los únicos temas usados por estos criminales, ya que el miedo y la suplantación de Fuerzas y Cuerpos de Seguridad del Estado también están a la orden del día, tal y como comprobaremos en el análisis de esta campaña recientemente detectada en España.

Denuncia de la Policía Nacional

Usando una táctica sencilla pero efectiva, los delincuentes se hacen pasar por algún tipo de organismo oficial que sea conocido por todos, en este caso la propia Policía Nacional. En el cuerpo del mensaje vemos como se incluye una citación por un supuesto delito del cual hemos sido acusados, algo que a muchas de las personas que recibieron este correo debió causarles un buen susto. En el mensaje se incluye también un enlace para descargar esta supuesta citación, además del logotipo de la Policía, la dirección de una comisaría en Madrid y su web oficial.

Sin embargo, hay detalles que nos pueden hacer sospechar de que estamos ante un correo fraudulento y que podemos revisar para evitar caer en esta y futuras trampas similares. Para empezar, este tipo de citaciones no se realizan por correo electrónico y, aunque no pocos usuarios se hayan pegado un buen susto al recibir este email, si se piensa fríamente, no tiene sentido que algo tan importante como una citación judicial pueda terminar en la carpeta de spam por accidente.

Además, los delincuentes se olvidaron de modificar la dirección del email del remitente para que pareciese legítima, apareciendo una que nada tiene que ver con la Policía Nacional. Por último, el uso de la palabra Copyright y algunos caracteres extraños que aparecen nos dan más pistas sobre la procedencia ilícita de este email.

En cualquier caso y, a pesar de estos puntos que delatan que este correo es fraudulento, no son pocos los usuarios que, asustados por haber recibido aparentemente una comunicación oficial de la Policía Nacional, han pulsado sobre el enlace proporcionado en el correo para descargar la supuesta citación electrónica.

Al pulsar sobre este enlace comprobamos como el usuario es redirigido a un dominio que tampoco aparente tener relación alguna con la Policía y, además, en el propio enlace de descarga observamos como se mencionan las palabras “delito federal”, lo que sugiere que esta campaña podría estar derivada de otra anterior realizada, por ejemplo en México, algo que no sería ninguna novedad.

El fichero descargado está comprimido en formato ZIP y contiene, como viene siendo habitual en campañas similares anteriores, otros dos archivos. En este caso nos encontramos con un archivo de texto con cadenas de caracteres inconexas y un archivo HTA que contiene el código malicioso encargado de ejecutar la primera fase de la cadena de infección.

En esta ocasión, los delincuentes han optado por incluir el código malicioso en formato HTA puesto que esto les permite incluir código en varios lenguajes como JScript o VBScript que luego son interpretados por el navegador donde se abre el fichero. Si revisamos el código, comprobaremos que no es muy extenso, pero contiene varias cadenas de código ofuscado que dificulta su análisis, aunque no impide que sea detectado por muchas de las soluciones de seguridad existentes en el mercado.

No obstante, realizando un análisis dinámico y simulando un entorno real podemos comprobar como, al final de toda la cadena de infección, se termina descargando una nueva variante de Grandoreiro, el conocido troyano bancario con origen en Latinoamérica y que lleva años afectando también a usuarios españoles. Aun así, esta campaña incluye algunos cambios notables en la forma en la que el troyano Grandoreiro realiza su cadena de infección, lo que demuestra que sus desarrolladores están innovando constantemente para mejorar la eficacia de sus amenazas y dificultar su análisis.

Impacto en España

Al tratarse de una campaña que suplanta la identidad de la Policía Nacional española parece claro que el objetivo de los delincuentes es conseguir víctimas entre aquellos usuarios españoles que reciban el correo y caigan en la trampa que les han preparado. Esto podemos comprobarlo no solo gracias a la telemetría de las detecciones realizadas por las soluciones de seguridad si no también gracias a despistes cometidos por los criminales, como, por ejemplo, dejarse un directorio abierto con los archivos usados por los delincuentes para esta campaña alojados en un servidor comprometido y accesible sin restricción alguna.

No solo eso, sino que los delincuentes también permiten navegar por la estructura de directorios que han preparado y, observar, por ejemplo, las direcciones IP, de aquellos usuarios que pulsaban sobre el enlace para descargar la supuesta citación judicial. Tras revisar varias de estas IPs, podemos comprobar cómo, efectivamente, la mayoría de ellas proceden de España, lo que confirma una vez más que esta campaña iba dirigida hacia usuarios de nuestro país.

Este tipo de información resulta muy útil para los investigadores ya que permite obtener y analizar todos los archivos usados por los delincuentes en sus campañas e incluso, como en esta ocasión, tener una idea aproximada del éxito de la campaña. En casos puntuales incluso hemos podido llegar a obtener archivos con malware preparado para campañas que aun no se habían iniciado, facilitando su detección por los motores de las soluciones de seguridad y desbaratando los planes de los delincuentes.

Conclusión

Aunque con un poco de conocimiento y sentido común es perfectamente posible detectar este tipo de correos maliciosos, aun son muchos los usuarios que caen en este tipo de trampas. Por ese motivo es importante contar con soluciones de seguridad capaces de detectar todo tipo de amenazas antes de que comprometan nuestro sistema y la información confidencial que contiene.

Josep Albors

Falsos bots de IA que instalan malware en los dispositivos. Te explicamos cómo evitar este tipo de fraudes