Un dispositivo con una solución de ciberseguridad | UNSPLASH

TW
0

Investigadores del ámbito de la ciberseguridad han descubierto nuevas variantes de los troyanos bancarios conocidos como Grandoreiro y Mekotio, que han regresado con procedimientos diferentes, con el envío de citaciones judiciales y comprobantes de pago fraudulentos.

Mekotio es un 'malware' activo desde, al menos, 2015 y cuyo origen se sitúa en Latinoamérica, que se encarga de desplegar ventanas emergentes falsas para que las víctimas acaben por incluir sus datos y divulgar su información confidencial.

Este, además, recaba la configuración del 'firewall' del equipo de la víctima, accede a sus privilegios como adminitración y puede manipular las soluciones 'antimalware' instaladas en el equipo.

Los primeros registros de Grandoreiro, en cambio, son de 2017 e inicialmente trabajaba enviando actualizaciones falsas de Java y Flash. Y en sus últimas iteraciones, ha captado víctimas mediante el envío de correo 'spam'.

Investigadores de Eset han anunciado que, tras años estudiando estas amenazas, ha comprobado que los delincuentes que las desarrollan tienen nexos en común, lo que justifica que en ocasiones se propaguen al mismo tiempo.

Si bien estos troyanos bancarios han empleado diferentes procedimientos para engañar a los usuarios, más recientemente se han dado casos de envío de citaciones judiciales a través de correos electrónicos que incluyen enlaces fraudulentos.

Para sumar víctimas en esta campaña, los ciberdelincuentes han logrado remitir este 'email' desde una dirección con apariencia legítima, a pesar de que la URL redirige el enlace a una página que no tiene relación con el Ministerio de Justicia, organismo que se encarga de este tipo de trámites.

Eset indica, además, que en caso de pulsar sobre el enlace, se descarga un archivo comprimido alojado en la nube de Microsoft Azure. Este, a su vez, incluye dos archivos, uno de ellos con un tamaño de 82 MB.

En el caso de Grandoreiro, que puede inflar el tamaño de sus binarios para evadir las soluciones de seguridad del sistema, presenta una interfaz que se hace pasar por una validación del lector Adobe Reader PDF. Teóricamente, completar el 'captcha' permite visualizar la mencionada justificación judicial.

Sin embargo, una vez se introducen los caracteres solicitados, aparece una pantalla en la que se indica que el programa está preparando el archivo PDF. Es entonces cuando Grandoreiro empieza a recopiar información financiera confidencial.

Junto con los nombres de usuario, contraseñas y números de tarjetas de crédito, el troyano recopila toda la información presente en la pantalla y analiza las pulsaciones del teclado, de modo que puede conocer qué está escribiendo la víctima en ese momento.

Comprobantes de pago fraudulentos de mekotio

Los investigadores de esta compañía de ciberseguridad han detectado que, con la aparición de Grandoreiro también, ha hecho acto de presencia Mekotio, un troyano para el que los ciberdelincuentes han utilizado un comprobante de pago fraudulento.

Como remitente, han indicado una empresa brasileña, lo que identifica que puede tratarse de una estafa, así como el enlace que incluye en su interior, que redirige a un dominio desconocido.

En cualquier caso, una vez se hace clic sobre este, se descarga un fichero comprimido en formato ejecutable MSI que inicia la cadena habitual de este 'malware'. Una vez se instala en el dispositivo infectado, roba detalles financieros como las claves para iniciar sesión en las 'apps' bancarias.