Los investigadores de Proofpoint han estado monitoreando el malware Grandoreiro, asociado al grupo de ciberdelincuentes TA2725. Hasta el momento, los ataques de este malware bancario se habían centrado en personas de habla portuguesa e hispana en Brasil, México y otras regiones de América.
Sin embargo, se ha detectado recientemente un aumento en las amenazas dirigidas a usuarios españoles, con el objetivo de robar sus datos.
“Dado el rápido desarrollo del malware y la tenacidad de los ciberdelincuentes latinoamericanos, esperamos que estos aumenten sus objetivos en otras regiones, especialmente en España ya que comparten el mismo idiom”, advierten desde el equipo de investigación de Proofpoint.
Grandoreiro llega a España
El panorama de amenazas cibernéticas ha evolucionado rápidamente en los últimos años, especialmente en países como Brasil, que se han convertido en objetivos clave debido a su alta adopción de servicios en línea, como la banca.
El malware bancario en el país se presenta en diversas variantes, muchas de las cuales comparten un ancestro común escrito en Delphi. Estos códigos fuente han sido reutilizados y modificados a lo largo del tiempo, dando origen a diferentes tipos de malware, como Javali, Casabeniero, Mekotio y Grandoreiro.
El malware Grandoreiro llega a España para robar datos bancarios de usuarios
Grandoreiro, por ejemplo, sigue en desarrollo activo, tanto su cargador (loader) como su carga final. Esta variante tiene la capacidad de robar datos y credenciales bancarias mediante keyloggers, capturas de pantalla y superposiciones cuando las víctimas visitan sitios bancarios específicos que son el objetivo de los ciberdelincuentes.
Según las observaciones de Proofpoint, la entrega de este malware suele comenzar con un correo electrónico que contiene una URL y utiliza señuelos relacionados con documentos compartidos, formularios o facturas. Si la víctima hace clic en el enlace, se descarga un archivo ZIP que contiene el cargador del malware.
Normalmente, cuando estos ciberdelincuentes extranjeros quieren atacar a organizaciones españolas, utilizan malware más genérico o campañas exclusivas para adaptarse. Sin embargo, en las campañas recientes del TA2725 se incluyen entre sus objetivos bancos de España, abarcando así a múltiples regiones geográficas, sin hacer ningún cambio.
