Troyano bancario Grandoreiro se hace pasar por la Agencia Tributaria de España

Los contribuyentes son uno de los grupos más expuestos a las actividades cibercriminales. Acorde a especialistas en seguridad en la nube, múltiples grupos de hackers maliciosos llevan meses operando campañas en las que tratan de hacerse pasar por agencias gubernamentales del gobierno español, especialmente la Agencia Tributaria, con el objetivo de engañar a los usuarios y conseguir dinero o acceso a su información confidencial. 

La mayoría de estas campañas se relacionan con el troyano bancario conocido como Grandoreiro, detectado en múltiples ciberataques, principalmente en países latinoamericanos. En el caso de España, los hackers maliciosos han estado enviando correos electrónicos supuestamente provenientes de la Agencia Tributaria.

Esta campaña comenzó el 11 de agosto de 2020, cuando muchos ciudadanos españoles comenzaron a recibir correos enviados desde contato@acessofinanceiro[.]com. En el mensaje se pide a los usuarios que descarguen un archivo ZIP que contiene un supuesto recibo fiscal, haciendo énfasis en que resta un documento que debe ser presentado en conjunto con un monto a pagar. 

FUENTE: ESET

El enlace adjunto redirige a los usuarios a un dominio registrado el mismo 11 de agosto. No obstante, la información enviada por el whois menciona que el país donde el registro se presentó es Brasil, un indicio de la identidad de los actores de amenazas. 

FUENTE: ESET

En la investigación, llevada a cabo por los investigadores de ESET, también se ha identificado al troyano bancario Mekotio distribuido de forma similar.

EJECUCIÓN DEL MALWARE

La cadena de infección es prácticamente idéntica a la de otros troyanos bancarios, mencionan los expertos en seguridad en la nube. Para comenzar, los hackers colocan el archivo malicioso en un dominio comprometido o usando servicios de almacenamiento como Dropbox.

FUENTE: ESET

La carga útil ZIP contiene un archivo MSI y un GIF. También debe tenerse en cuenta que el nombre del archivo ZIP tiene el código de país “ES” al final.

FUENTE: ESET

Las soluciones de seguridad de ESET detectan este archivo MSI como una variante de Win32/TrojanDownloader.Delf.CYA, un downloader malicioso responsable de introducir otras variantes de malware en el sistema objetivo.   

FUENTE: ESET

Aquí, los especialistas en seguridad en la nube encontraron una nueva variante del troyano bancario Grandoreiro.

Es importante que los contribuyentes en España traten de permanecer alertas ante esta campaña maliciosa, pues es altamente probable que los actores de amenazas sigan enviando estos correos electrónicos de phishing. Aplicar filtros de correo electrónico y soluciones de seguridad siempre será buena opción para mitigar estos ataques.