Correos maliciosos enviados por el troyano bancario Grandoreiro.

La empresa de soluciones de seguridad ESET alerta de la actividad de algunos troyanos bancarios brasileños, especialmente Grandoreiro, que usa un email con el asunto ‘Factura pendiente’ y una URL de descarga.

«La actividad de algunas familias de troyanos bancarios brasileños en España sigue presente, a pesar de las operaciones policiales realizadas y el regreso a sus países de origen de algunas familias de este ‘malware’ que estuvieron muy activas durante 2020 y buena parte de 2021», señala la firma de ciberseguridad.

«A diferencia de otras campañas anteriores, en esta ocasión no se han esmerado demasiado en hacer que el correo resulte demasiado convincente», precisa.

El remitente es una cuenta brasileña, un mensaje «escueto» y una URL para descargar la supuesta factura. Sin embargo, el enlace «apunta a un servicio acortador de enlaces para no revelar a dónde quieren redirigir».

«En caso de pulsar sobre este enlace, la víctima es redirigida a una URL que se corresponde con el servicio Azure de Microsoft, usado por los delincuentes para alojar el fichero malicioso que compone la primera fase de este ataque y que se descargará en el sistema esperando su ejecución», explican en ESET.

Este fichero descargado, un ZIP, contendrá en su interior un ejecutable MSI, que cuando se ejecuta «contacta con otra URL controlada por los delincuentes para descargar el ‘payload’ responsable de ejecutar las funciones de troyano bancario» en el sistema operativo.

Grandoreiro «es la única familia de troyanos bancarios que aún tiene a usuarios españoles entre sus objetivos, con un repunte de su actividad bastante notable desde mediados de julio». En cambio, otras familias de troyanos bancarios con origen en Latinoamérica, como Mekotio, Casbaneiro o Mispadu, han regresado a su región de origen.