Se ha descubierto que nuevas variantes de un malware bancario llamado Grandoreiro adoptan nuevas t\u00e1cticas en un esfuerzo por eludir las medidas antifraude, lo que indica que el software malicioso contin\u00faa desarroll\u00e1ndose activamente a pesar de los esfuerzos de las autoridades por tomar medidas en\u00e9rgicas contra la operaci\u00f3n.<\/p>\n
“S\u00f3lo una parte de esta banda fue arrestada: los operadores restantes detr\u00e1s de Grandoreiro contin\u00faan atacando a usuarios de todo el mundo, desarrollando nuevo malware y estableciendo nueva infraestructura”, Kaspersky dicho<\/a> en un an\u00e1lisis publicado el martes.<\/p>\n Algunos de los otros trucos recientemente incorporados incluyen el uso de un algoritmo de generaci\u00f3n de dominio (DGA) para comunicaciones de comando y control (C2), robo de texto cifrado (cts<\/a>) cifrado y seguimiento del mouse. Tambi\u00e9n se observan “versiones locales m\u00e1s ligeras” que est\u00e1n espec\u00edficamente enfocadas a clientes bancarios en M\u00e9xico.<\/p>\n Grandoreiro, activo desde 2016, ha evolucionado constantemente a lo largo del tiempo, esforz\u00e1ndose por pasar desapercibido y al mismo tiempo ampliando su alcance geogr\u00e1fico a Am\u00e9rica Latina y Europa. Es capaz de robar credenciales de 1.700 instituciones financieras, ubicadas en 45 pa\u00edses y territorios.<\/p>\n Se dice que funciona bajo el modelo de malware como servicio (MaaS), aunque la evidencia apunta a que solo se ofrece a ciberdelincuentes selectos y socios confiables.<\/p>\n Uno de los acontecimientos m\u00e1s significativos de este a\u00f1o en relaci\u00f3n con Grandoreiro es el arresto de algunos de los miembros del grupo, un evento que ha llevado a la fragmentaci\u00f3n del c\u00f3digo base Delphi del malware.<\/p>\n “Este descubrimiento est\u00e1 respaldado por la existencia de dos bases de c\u00f3digo distintas en campa\u00f1as simult\u00e1neas: muestras m\u00e1s nuevas que presentan c\u00f3digo actualizado y muestras m\u00e1s antiguas que se basan en la base de c\u00f3digo heredada, ahora dirigidas s\u00f3lo a usuarios en M\u00e9xico: clientes de alrededor de 30 bancos”, dijo Kaspersky.<\/p>\n Grandoreiro se distribuye principalmente a trav\u00e9s de correos electr\u00f3nicos de phishing y, en menor medida, a trav\u00e9s de anuncios maliciosos publicados en Google. La primera etapa es un archivo ZIP que, a su vez, contiene un archivo leg\u00edtimo y un cargador MSI que es responsable de descargar e iniciar el malware.<\/p>\n Se ha descubierto que las campa\u00f1as observadas en 2023 aprovechan ejecutables port\u00e1tiles extremadamente grandes con un tama\u00f1o de archivo de 390 MB haci\u00e9ndose pasar por controladores SSD de datos externos de AMD para evitar las zonas de pruebas y pasar desapercibidas.<\/p>\n El malware bancario viene equipado con funciones para recopilar informaci\u00f3n del host y datos de ubicaci\u00f3n de la direcci\u00f3n IP. Tambi\u00e9n extrae el nombre de usuario y comprueba si contiene las cadenas “John” o “WORK” y, de ser as\u00ed, detiene su ejecuci\u00f3n.<\/p>\n “Grandoreiro busca soluciones antimalware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan y CrowdStrike”, afirm\u00f3 la empresa. “Tambi\u00e9n busca software de seguridad bancaria, como Topaz OFD y Trusteer”.<\/p>\n Otra funci\u00f3n notable del malware es verificar la presencia de ciertos navegadores web, clientes de correo electr\u00f3nico, VPN y aplicaciones de almacenamiento en la nube en el sistema y monitorear la actividad del usuario en esas aplicaciones. Adem\u00e1s, puede actuar como un cortapelos para redirigir las transacciones de criptomonedas a billeteras bajo el control del actor de la amenaza.<\/p>\n Las cadenas de ataques m\u00e1s nuevas detectadas despu\u00e9s de los arrestos de este a\u00f1o incluyen una barrera CAPTCHA antes de la ejecuci\u00f3n de la carga \u00fatil principal como una forma de eludir el an\u00e1lisis autom\u00e1tico.<\/p>\n La \u00faltima versi\u00f3n de Grandoreiro tambi\u00e9n ha recibido actualizaciones importantes, incluida la capacidad de autoactualizarse, registrar pulsaciones de teclas, seleccionar el pa\u00eds para enumerar a las v\u00edctimas, detectar soluciones de seguridad bancaria, usar Outlook para enviar correos electr\u00f3nicos no deseados y monitorear correos electr\u00f3nicos de Outlook para palabras clave espec\u00edficas.<\/p>\n Tambi\u00e9n est\u00e1 equipado para capturar los movimientos del mouse, lo que indica un intento de imitar el comportamiento del usuario y enga\u00f1ar a los sistemas antifraude para que identifiquen la actividad como leg\u00edtima.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Surgen-nuevas-variantes-de-malware-bancario-Grandoreiro-con-tacticas-avanzadas.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n