El troyano bancario Grandoreiro sigue activo y amenaza a usuarios de Endesa

A pesar de los esfuerzos policiales y la colaboración de empresas de ciberseguridad, el troyano bancario Grandoreiro continúa siendo una amenaza significativa para los usuarios de varios países, incluyendo España. Este malware, conocido por su capacidad para robar credenciales bancarias, ha vuelto a la carga con nuevas campañas de phishing que suplantan a empresas y organizaciones públicas.

Un caso reciente ilustra cómo los delincuentes utilizan correos electrónicos que simulan ser facturas de la distribuidora de energía Endesa. Esta táctica no es nueva, ya que Grandoreiro y otros troyanos bancarios han suplantado a esta empresa en múltiples ocasiones. La popularidad de Endesa y su relevancia en el mercado energético español hacen que muchos usuarios caigan en la trampa, creyendo que están ante una comunicación auténtica.

Para evitar ser víctimas de estos ataques, es crucial revisar el remitente del correo electrónico. En muchos casos, aunque los correos parecen provenir de una fuente confiable, el dominio del remitente puede revelar pistas sospechosas. Por ejemplo, un correo reciente de Grandoreiro tenía un dominio de Zimbabue, lo que debería alertar a los usuarios sobre su autenticidad.

Análisis de la amenaza: Grandoreiro

Al analizar las muestras recientes de Grandoreiro, se observa que los delincuentes siguen utilizando archivos comprimidos ZIP que contienen instaladores MSI. Aunque el tamaño de estos archivos es considerablemente grande, no alcanza los cientos de megabytes de campañas anteriores. Al ejecutar el archivo malicioso en un entorno de prueba, se detecta el uso de señuelos como barras de progreso para distraer al usuario mientras el troyano realiza su función.

El troyano bancario Grandoreiro regresa en una campaña suplantando a Endesa

La cadena de infección sigue un patrón conocido: el archivo MSI descarga y ejecuta un ejecutable que contiene el código del troyano bancario. Una vez instalado, el troyano busca obtener persistencia en el sistema y robar credenciales bancarias y otras informaciones sensibles que puedan ser utilizadas en futuras campañas o vendidas en el mercado negro.

Medidas de protección

La persistencia de Grandoreiro subraya la importancia de mantenerse alerta y adoptar medidas de seguridad adecuadas. Para Josep Albors, director de investigación y concienciación de ESET España, los usuarios deben estar atentos a correos electrónicos sospechosos y verificar siempre la autenticidad del remitente y los enlaces incluidos. Además, es fundamental contar con soluciones de seguridad robustas que puedan detectar y bloquear estas amenazas antes de que lleguen a la bandeja de entrada.

Las mismas estrategias que se han utilizado para combatir versiones anteriores de Grandoreiro siguen siendo efectivas contra las nuevas. Esto incluye la educación de los usuarios sobre las tácticas de phishing y la implementación de herramientas de seguridad avanzadas que puedan identificar y neutralizar el malware.