Se ha descubierto que nuevas variantes de un malware bancario llamado Grandoreiro adoptan nuevas tácticas en un esfuerzo por evadir las medidas antifraude, lo que indica que el software malicioso continúa desarrollándose activamente a pesar de los esfuerzos de las fuerzas del orden para acabar con la operación.
«Sólo una parte de esta banda fue detenida: los operadores restantes detrás de Grandoreiro continúan atacando a usuarios de todo el mundo, desarrollando nuevo malware y estableciendo nueva infraestructura», dijo Kaspersky en un análisis publicado el martes.
Entre otros trucos recientemente incorporados se encuentran el uso de un algoritmo de generación de dominios (DGA) para comunicaciones de comando y control (C2), cifrado de robo de texto cifrado ( CTS ) y rastreo de mouse. También se observan «versiones locales más livianas» que se enfocan específicamente en atacar a clientes bancarios en México.
Grandoreiro , activo desde 2016, ha evolucionado constantemente a lo largo del tiempo, esforzándose por pasar desapercibido y ampliando su alcance geográfico a América Latina y Europa. Es capaz de robar credenciales de 1.700 instituciones financieras, ubicadas en 45 países y territorios.
Se dice que opera bajo el modelo de malware como servicio (MaaS), aunque la evidencia apunta a que sólo se ofrece a cibercriminales seleccionados y socios de confianza.
Uno de los avances más significativos de este año en relación con Grandoreiro es el arresto de algunos de los miembros del grupo, un evento que ha llevado a la fragmentación del código base Delphi del malware.
«Este descubrimiento está respaldado por la existencia de dos bases de código distintas en campañas simultáneas: muestras más nuevas que presentan código actualizado y muestras más antiguas que se basan en la base de código heredada, que ahora se dirigen solo a usuarios en México, clientes de alrededor de 30 bancos», dijo Kaspersky.
Grandoreiro se distribuye principalmente a través de correos electrónicos de phishing y, en menor medida, a través de anuncios maliciosos que se muestran en Google. La primera etapa es un archivo ZIP que, a su vez, contiene un archivo legítimo y un cargador MSI que se encarga de descargar y ejecutar el malware.
Se ha descubierto que las campañas observadas en 2023 aprovechan archivos ejecutables portátiles extremadamente grandes con un tamaño de archivo de 390 MB haciéndose pasar por controladores SSD de datos externos de AMD para eludir las zonas protegidas y pasar desapercibidos.
El malware bancario viene equipado con funciones para recopilar información del host y datos de ubicación de la dirección IP. También extrae el nombre de usuario y verifica si contiene las cadenas «John» o «WORK» y, de ser así, detiene su ejecución.
«Grandoreiro busca soluciones anti-malware como AVAST, Bitdefender, Nod32, Kaspersky, McAfee, Windows Defender, Sophos, Virus Free, Adaware, Symantec, Tencent, Avira, ActiveScan y CrowdStrike», indicó la empresa. «También busca software de seguridad bancaria, como Topaz OFD y Trusteer».
Otra función destacada del malware es comprobar la presencia de determinados navegadores web, clientes de correo electrónico, VPN y aplicaciones de almacenamiento en la nube en el sistema y supervisar la actividad del usuario en esas aplicaciones. Además, puede actuar como un clipper para redirigir las transacciones de criptomonedas a las billeteras que están bajo el control del actor de la amenaza.
Las cadenas de ataque más recientes detectadas después de los arrestos de este año incluyen una barrera CAPTCHA antes de la ejecución de la carga principal como una forma de evitar el análisis automático.
La última versión de Grandoreiro también ha recibido actualizaciones importantes, incluida la capacidad de actualizarse automáticamente, registrar pulsaciones de teclas, seleccionar el país para enumerar a las víctimas, detectar soluciones de seguridad bancaria, usar Outlook para enviar correos electrónicos no deseados y monitorear correos electrónicos de Outlook en busca de palabras clave específicas.
También está equipado para capturar los movimientos del mouse, lo que indica un intento de imitar el comportamiento del usuario y engañar a los sistemas antifraude para que identifiquen la actividad como legítima.
«Este descubrimiento resalta la evolución continua de malware como Grandoreiro, donde los atacantes incorporan cada vez más tácticas diseñadas para contrarrestar las soluciones de seguridad modernas que se basan en la biometría del comportamiento y el aprendizaje automático», dijeron los investigadores.
Una vez obtenidas las credenciales, los actores de amenazas retiran los fondos a cuentas pertenecientes a mulas de dinero locales mediante aplicaciones de transferencia, criptomonedas o tarjetas de regalo, o un cajero automático. Las mulas se identifican mediante canales de Telegram y se les paga entre 200 y 500 dólares por día.
El acceso remoto a la máquina víctima se facilita mediante una herramienta basada en Delphi llamada Operator que muestra una lista de víctimas cada vez que comienzan a navegar por el sitio web de una institución financiera específica.
«Los actores de amenazas detrás del malware bancario Grandoreiro están evolucionando continuamente sus tácticas y malware para llevar a cabo con éxito ataques contra sus objetivos y evadir las soluciones de seguridad», afirmó Kaspersky.
«Los troyanos bancarios brasileños ya son una amenaza internacional; están llenando los vacíos dejados por las bandas de Europa del Este que han migrado al ransomware».
Fuente y redacción: thehackernews.com