Grandoreiro Malware Bancario

Publicado hace 2 meses 24-10-2024

Nuevos malwares atacan día a día, y en el mes de octubre no fue la excepción. En esta ocasión, volvió a atacar el malware Grandoreiro, uno de los troyanos bancarios más peligrosos de la actualidad. Desde su aparición en Brasil, ha estado activo desde 2016. Aunque en marzo de este año INTERPOL, en colaboración con Kaspersky, realizó una importante detección de grupos delictivos que operaban con este malware, el troyano parece resistirse a desaparecer. Las investigaciones indican que este malware es una de las amenazas más activas a nivel mundial, representando cerca del 5% de los ataques bancarios en este año. La República Mexicana es uno de los países más atacados por las variantes de este malware, al registrar 51,000 incidentes dirigidas a alrededor de 30 bancos diferentes.

¿Cómo ataca?

La técnica de infección más utilizada de este malware es a través de correos electrónicos, en donde los criminales envían e-mails en nombre de empresas reconocidas, con comprobantes digitales de pago y facturas digitales falsas. Los correos incluyen un enlace que engaña al usuario para que haga clic y descargue en su computadora una carpeta zip que contiene un archivo ejecutable. Este archivo analiza el equipo de la víctima y, una vez que la computadora está infectada, el malware puede utilizar diversas técnicas para robar la información financiera, como el dinero de las víctima.

(Flujo de infeccion de Grandoreiro.)

El mes de abril de este año, el malware utiliza la técnica de colocar una ventana de inicio de sesión falsa de una institución financiera, para que las personas introduzcan ahí sus datos bancarios como usuario, números de cuentas y contraseñas.
El malware ha evolucionado su forma de ataque y ahora utiliza una técnica más avanzada, en la que infecta la computadora y registra la actividad del movimiento del mouse de la víctima para robar su información bancaria.
Esta técnica tiene el objetivo engañar a las herramientas antifraude de los bancos, ya que imita el comportamiento normal de los usuarios, reproduciendo los movimientos naturales de los movimientos del mouse.

Indicadores de Compromiso:

IOC 

Tipo  

a3b03e8a8a1edfcf33aebb9d55f81ed274196596a20db875e2ae923d6468bbd 

MD5 

6a3b03e8a8a1edfcf33aebb9d55f81ed274196596a20db875e2ae923d6468bbd 

SHA-256 

20253c20ea35ec595c5577604f8a2730 

MD5 

58084c86acd68c83d84802ef8daa9cdfefdcf34d7fa1b9a0e04c4ca124e58382 

SHA-256 

98ef8e5ef3bef928537d4fd25c53380a 

MD5 

35c0744bec0e123d24a9ffd3d7a9edeb07d9341ab45619b5fc881ce7dd81276a 

SHA-256 

150de04cb34fdc5fd131e342fe4df638 

MD5 

43eec7f0fecf58c71a9446f56def0240 

MD5 

49355fd0d152862e9c8e3ca3bbc55eb0 

MD5 

555856076fad10b2c0c155161fb9384b 

MD5 

dd2ea25752751c8fb44da2b23daf24a4 

MD5 

f0243296c6988a3bce24f95035ab4885 

MD5 

b979d79be32d99824ee31a43deccdb18 

MD5 

1d5d724dc5233eeb1be3e6101f2abfa3 

MD5 

2d0bfce20c808ba22d79371cf7f82227 

MD5 

5cbb3fe28d32e18d79c045e01dd0c084 

MD5 

8db8bece0d89412bd8654c98e6570415 

MD5 

0199e31719ee5d611385af31fb3821d40473a46f 

SHA-1 

01aa8ea7d37ffbea60b567d4d1b9fa5b4093586c 

SHA-1 

07f06d5c230784618eb54fdf952872f7b3dc3854 

SHA-1 

080cfe8a4e7dcd388cf5459fcce96b2b1a7090ba 

SHA-1 

09672e9208fd30511ed8d779f5769b159116c88b 

SHA-1 

0a9bba01290233999c9298605cb878bf20296087 

SHA-1 

8c3ee970ebf9fcdd7ebb8bc25dd53729 

MD5 

bc80fc26783bf106d486af9e81ffb129 

MD5 

d65f0b1d9d478f6785edaece2f04b92a 

MD5 

2200a75ba48557341325e7728854cd2303f2dadb 

SHA-1 

cda3ad0a0c7c1c95497e2654978ed197e21c688f 

SHA-1 

e9d2b4f151a21cc29c32dd7f8e650e2b7ca44625 

SHA-1 

2a7a97fe1b769f2b74ebd66c447708f5b5beb60bad5a53d05d7f428770ba2f62 

SHA-256 

3f8991019a93859ee7c8d1bb3b3490a4ae9939d62b867b7a86ede4b2272fa92c 

SHA-256 

fdb65b07bb55b2b7c0a7515a1a56081dad716678649c5345df5de33186ec5679 

SHA-256 

1847aceee7dc4c129814d76f1b4017d2 

MD5 

3150b7d7e5cc480a8997b24f8f8b8882 

MD5 

5431e52aba9f486db4467a459189471f 

MD5 

579fbce992684cf4980f6c1453cdac95 

MD5 

73bdadb3e3d64501ba4330491158f78d 

MD5 

87100e82a4f542fa8bf42c155c67d817 

MD5 

a3f32463236f438897e4d32ee19cc406 

MD5 

aad2781e416b4e3d9b04f3d012bd8b17 

MD5 

cacfebc315164fe8ad91db152a9ad0dc 

MD5 

da4ed5af2ddd4874865aa3abc9f39056 

MD5 

Recomendaciones

 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Vega, P. (2024, Octubre 23). Este troyano registra los movimientos del mouse para robar tu dinero. El Universal. Recuperado el 23 de octubre del 2024 en: https://www.eluniversal.com.mx/techbit/este-troyano-registra-los-movimientos-del-mouse-para-robar-tu-dinero/ 

  2. Noguez, R. N. (2024, Octubre 22). México suma 51,000 ciberataques a 30 bancos, este malware que está detrás. EL CEO. Recuperado el 23 de octubre del 2024 en:  https://elceo.com/negocios/mexico-suma-51000-ciberataques-a-30-bancos-este-malware-que-esta-detras/ 

  3. Escudo Digital. (2024,  Marzo 20). Cinco detenidos por robar 3,5 millones de euros con el troyano bancario Grandoreiro. Escudo Digital. Recuperado el 23 de octubre del 2024 en: https://www.escudodigital.com/ciberseguridad/cinco-detenidos-robar-35-millones-euros-troyano-bancario-grandoreiro_58458_102.html 

  4. Domínguez, C. (2024, Octubre 22). Detectan malware enfocado a México; 30 bancos en riesgo. Norte. Recuperado el 23 de octubre del 2024 en: https://www.elnorte.com/detectan-malware-enfocado-a-mexico-30-bancos-en-riesgo/ar2894263?utm_source=whatsapp&utm_medium=social&utm_campaign=promocion_suscriptor 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025

El pasado 10 de diciembre, Microsoft publicó su lista de vulnerabilidades en su denominado “Patch Tuesday”. En este se abordaban diferentes vulnerabilidades de diversas criticidades; algunas destacaban más que otras debido a su impacto y probabilidad de......

Ransomware Funksec
Publicado hace 2 semanas 26-12-2024

Se ha identificado un nuevo ransomware denominado Funksec, detectado en diciembre de 2024. En tan solo los primeros 10 días del mes, ya ha afectado a 31 víctimas.  El primer ataque registrado de Funksec ocurrió el 4 de diciembre del mismo año,......

Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024

Las familias de ransomware tienden a mejorar sus capacidades con el tiempo y están en constante evolución para evadir métodos de detección o generar un mayor impacto, por lo que pueden surgir variaciones del ransomware principal o nuevas versiones.......

BOLETINES RECIENTES

...
Vulnerabilidad en Windows LDAP
Publicado hace 6 días 06-01-2025
Leer más
...
Ransomware Funksec
Publicado hace 2 semanas 26-12-2024
Leer más
...
Ransomware LockBit 4.0
Publicado hace 2 semanas 23-12-2024
Leer más