Notipress.- El equipo de Investigación y Análisis Global de Kaspersky (GReAT) descubrió una nueva versión simplificada del troyano bancario, enfocada en México y dirigida a unos 30 bancos. Se trata de Grandoreiro, un virus que representa cerca del 5% de los ataques de troyanos bancarios en 2024. A nivel mundial, México es uno de los países más atacados por las variantes de este malware, incluida la nueva versión simplificada, con 51,000 incidentes registrados.

Si bien las autoridades brasileras, por medio de una operación coordinada de Interpol, lograron detener a un grupo que operaba con Grandoreiro, Kaspersky descubrió que la base de código del grupo está dividida en versiones más ligeras y fragmentadas del troyano que le permite continuar con los ataques. El análisis descubrió que una variante específica en México la cual se utiliza para atacar a 30 instituciones financieras. La empresa de seguridad digital advierte que los creadores podrían tener acceso al código fuente y lanzar nuevas campañas a través del malware heredado.

“Todos los acontecimientos recientes subrayan la naturaleza evolutiva de la amenaza. Las versiones fragmentadas y más ligeras pueden representar una tendencia que podría extenderse más allá de México y otras regiones, incluso, más allá de América Latina”, comentó a NotiPress el director del equipo global de investigación y análisis para América Latina en Kaspersky, Fabio Assolini.

Aun así, Assolini sostiene que sólo algunos afiliados de confianza tienen acceso al código fuente del malware para desarrollar tales versiones simplificadas. “Grandoreiro opera de forma diferente al modelo tradicional de ‘Malware-as-a-service’ (Malware como Servicio) al que estamos acostumbrados. No encontrarás anuncios en foros clandestinos vendiendo el paquete de Grandoreiro pues el acceso a él parece estar limitado”, agregó.

Según Kaspersky, Grandoreiro y sus variantes representaron aproximadamente el 5% de los ataques globales de troyanos bancarios detectados en 2024, lo cual representa una de las amenazas más activa en todo el mundo. Para colmo, se detectaron nuevas tácticas del malware. Grandoreiro, por ejemplo, registra la actividad del mouse de una computadora para imitar patrones reales de los usuarios, y así eludir la detección de los sistemas de seguridad basados en aprendizaje automático que analizan el comportamiento. Por otro lado, Grandoreiro cuenta con una técnica criptográfica llamada Robo de Texto Cifrado (Ciphertext Stealing) que se utiliza para cifrar las cadenas de código malicioso. “Es probable que hayan introducido esta nueva técnica para complicar la detección y el análisis de sus ataques”, indicó Assolini.

Kaspersky indica que Grandoreiro lleva activo desde 2016 convirtiéndose en 2024 en una gran amenaza que se dirigió a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios. Al agregarse Asia y África a su lista de objetivos, este troyano bancario se convirtió en una amenaza financiera a nivel global.

Karspersky señala a México como el segundo país del mundo más atacado por troyanos bancarios desarrollados en Brasil

Notipress.- En el estudio Panorama de las Amenazas para América Latina, Kaspersky identificó que durante 2023, en la región, los ataques de troyanos bancarios aumentaron un 50% en comparación con el año anterior. A su vez, Kaspersky afirma, México es el segundo país con mayor prevalencia de este tipo de ataques, pues en 2023 el crecimiento registrado fue de 41% en contraste con 2022. Por lo cual, la compañía de ciberseguridad prevé la tendencia de esta ciberamenaza se mantenga al alza en 2024.

De acuerdo con información de Kaspersky a la que NotiPress accedió, gran parte de los ataques provienen de troyanos creados en Brasil, entre los cuales destaca Grandoreiro. Un malware utilizado para robar credenciales de acceso y contraseñas de cuentas o tarjetas bancarias de diversas identidades financieras, bancos, fintech, cooperativas e incluso cajas de ahorro. Según describe la empresa, al operar bajo el modelo de negocio Malware-asa-Service, Grandoreiro tiene alcance global. Es decir, los ciberdelicuentes cuentan con la capacidad para vender a socios locales el malware, quienes pueden distribuirlo a partir de diversos métodos.

A lo largo de 2022, Kaspersky registró más de 14 mil ataques llevados a cabo con Grandoreiro, mismos que se duplicaron y alcanzaron una cifra de 31 mil en 2023. De forma que este malware es uno de los más activos en el país en los últimos años, representando cerca del 20% de todos los ataques de troyanos bancarios detectados.

“La principal vía de infección de Grandoreiro son los correos electrónicos“, señala Kaspersky. Así, describe, los ciberciminales envían emails a nombre de distintas empresas con supuestos comprobantes digitales de pago. En estos incluyen enlaces donde se adjuntan carpetas zip con archivos ejecutables que analizan el equipo de la víctima y al confirmar que es un objetivo de interés, se instala el troyano.

Una vez instalado el malware, este puede actuar con distintas técnicas dirigidas tanto a robar información financiera de las víctimas como sus activos. A manera de ejemplo, Kaspersky menciona, pueden abrirse ventanas de inicio de sesión falta en el sitio real de una institución financiera, para que las personas introduzcan su nombre, usuario, número de cuenta y contraseñas.

“Para hacerse con el dinero de las cuentas, los criminales que operan Grandoreiro utilizan mulas de lavado, es decir, contratan a personas comunes para que reciban el monto en sus cuentas personales”. De este modo, la compañía asegura, los atacantes utilizan diversos métodos para poder retirar el dinero en efectivo desde las cuentas robadas.

Dada la expansión de este malware activo desde 2016 y con más de 150 mil víctimas al año, la empresa de ciberseguridad colaboró con la INTERPOL. A fin de compartir datos en torno al funcionamiento de este troyano bancario y ayudar a las autoridades brasileñas a detener a los administradores detrás de las campañas de dispersión del mismo. Sin embargo, la actividad de estos grupos no termina, incluso Kaspersky halló una nueva variante de Grandoreiro.

Con la cual, se perpetuaron más de 8 mil ataques en México durante los primeros meses de 2024. “Los expertos identificaron que los correos electrónicos enviados por los criminales han empezado a utilizar de anzuelo el Comprobante Fiscal Digital por Internet CFDI“. La cual es una factura electrónica que avala las transacciones llevadas a cabo tanto por usuarios como por empresas en el país. Dadas las previsiones de la compañía sobre la expansión de esta nueva variante del troyano, Kaspersky sugiere hacer uso de soluciones de ciberseguridad fiables. Pues estas cuentan con la capacidad de anticipar posibles ataques y mitigar el riesgo de ser víctima de estos.