Multas de tráfico y facturas de compañías de seguros. Los troyanos Grandoreiro y Mekotio vuelven a las andadas.

Los troyanos bancarios para sistemas Windows provenientes de Latinoamérica y que llevan años afectando a, entre otros, usuarios españoles se han convertido en algo frecuente. Por ese motivo es importante aprender a reconocer cómo preparan los delincuentes sus campañas, campañas como las que se han estado propagando recientemente por los buzones de correo de usuarios españoles y protagonizadas por viejos conocidos como son los códigos maliciosos Grandoreiro y Mekotio.

La factura de Generali Seguros

Muchas han sido las empresas y organismos oficiales suplantadas por los delincuentes responsables de estas amenazas a lo largo de estos años que llevamos siguiéndoles la pista. Sin embargo, cada cierto tiempo actualizan alguna de sus plantillas para probar suerte y ver si así consiguen nuevas víctimas. En una campaña detectada esta misma semana vemos que se ha empezado a suplantar la identidad de Generali Seguros y que se invita al usuario a descargar una factura.

El gancho sigue siendo el mismo que en prácticamente todas las ocasiones anteriores, y simplemente colocando el cursor sobre el enlace que nos proporcionan podemos ver que hay algo raro, ya que no aparece ningún dominio aparentemente relacionado con la empresa Generali. De hecho, ese mismo dominio ha sido usado en campañas anteriores del troyano bancario Grandoreiro, por lo que los más avispados se habrán dado cuenta del intento de engaño.

La intención de los delincuentes sigue siendo que los usuarios que reciban este correo pulsen sobre el enlace proporcionado y descarguen un archivo comprimido en sus sistemas, algo que, aun a día de hoy, continúan haciendo un número importante de usuarios.

Dentro de este archivo comprimido en ZIP encontramos otro fichero de un considerable tamaño, algo característico del malware Grandoreiro. Esta amenaza se caracteriza por utilizar binarios de gran tamaño para así dificultar las labores de análisis y tratar de evadir su detección.

En el caso de que un usuario descargue este archivo comprimido, lo abra y ejecute el fichero MSI que hay en su interior, se iniciará la segunda fase de esta amenaza, consistente en ponerse en contacto con un servidor remoto para descargar el fichero que contiene el troyano bancario en sí. No obstante, tanto la descarga inicial del fichero comprimido como esta segunda descarga que contiene la carga maliciosa pueden ser detectadas y bloqueadas por las soluciones de seguridad actuales.

De esta forma, los usuarios se encuentran protegidos en varios niveles, tanto a lo hora de bloquear el correo malicioso que suplanta la identidad de Generali Seguros, como el bloqueo de la descarga del archivo comprimido inicial y la del binario que corresponde al troyano bancario en sí.

El pago de la multa

Una de las plantillas de correo que más han utilizado los responsables de las campañas de propagación de este tipo de troyanos es la que simula ser una multa de tráfico. Prácticamente desde los primeros casos detectados en nuestro país, esta plantilla se ha venido repitiendo cada cierto tiempo para tratar de conseguir nuevas víctimas.

En el caso más reciente que se ha estado propagando de forma bastante intensa durante las últimas horas, vemos como los delincuentes vuelven a utilizar el asunto de la multa no pagada para crear una sensación de miedo y urgencia entre los receptores de este correo.

De nuevo encontramos un enlace en el que se nos invita a pulsar para descargar la supuesta multa y que redirige a un servidor donde se aloja el malware. En esta ocasión los delincuentes vuelven a usar un servicio de almacenamiento de ficheros con buena reputación como es Azure, al igual que han hecho en anteriores ocasiones.

Los delincuentes saben que este tipo de ficheros maliciosos duran poco tiempo en estos servicios legítimos, y este puede que sea uno de los motivos por el cual el envío de spam durante la pasada madrugada haya sido tan intenso. De esta forma, se aseguran de que, aunque sea un pequeño porcentaje, algunos usuarios caerán en la trampa y descargarán la amenaza cuando vean el correo a primera hora de la mañana.

Si descargamos y abrimos el fichero vemos que, a diferencia de Grandoreiro, el troyano bancario Mekotio no usa ficheros extremadamente grandes para tratar de evadir su detección y dificultar su análisis. Aun así, el tamaño de este código malicioso es superior a la media de otras amenazas similares que podemos encontrar actualmente y que son desarrolladas por otros grupos de delincuentes en otras regiones del planeta.

Como acabamos de observar, las tácticas usadas por los delincuentes detrás de estas campañas apenas han cambiado en los últimos años, y lo peor de todo es que siguen teniendo un éxito relativo. Por ese motivo es fundamental aprender a saber cómo funcionan para poder reconocerlas a tiempo y no caer en la trampa.

Conclusión

A pesar del tiempo pasado desde que se detectaron las primeras muestras de estas y otras amenazas similares dirigidas a usuarios españoles y otros países europeos, comprobamos que no ha habido mucha evolución en los vectores de ataque usados, las plantillas que suplantan la identidad de empresas y organismos oficiales y las técnicas empleadas por los delincuentes. Por ese motivo, la concienciación y el uso de soluciones de seguridad capaces de detectar estas amenazas resultan fundamentales para terminar con ellas de una vez por todas.

Josep Albors

Operación policial internacional desmantela las operaciones del grupo de ransomware Hive