Mekotio y Grandoreiro vuelven a cargar contra usuarios españoles

“Amenazas que llevan ya varios años entre nosotros siguen activas y consiguiendo nuevas víctimas”. Esta es la conclusión a la que llega una de las últimas investigaciones de ESET en España, que certifica el regreso de los troyanos bancarios Mekotio y Grandoreiro.

Estas dos amenazas han vuelto de la mano con campañas dirigidas a usuarios de nuestro país y tienen éxito por el tipo de ganchos que utilizan para llamar su atención y ganarse su confianza.

Así lo advierte Josep Albors, director de investigación y concienciación de ESET España, que explica que “en esta ocasión nos encontramos con una supuesta citación judicial, algo que puede asustar a algunos usuarios y llevarlos a pulsar sobre el enlace que se proporciona en el cuerpo del mensaje”.

El correo se emite desde una dirección con apariencia legítima. Cuando los receptores pulsan sobre el enlace incluido en el mensaje, se produce una redirección que termina con la descarga de un fichero alojado en Microsoft Azure.

“Una vez descargado el fichero al sistema de la víctima vemos que dentro del archivo comprimido se encuentran dos archivos, siendo el más relevante el ejecutable con un tamaño de 82 MB. Este tamaño ya nos da una pista de por dónde pueden ir los tiros”, relata Albors, “y aunque ya son varias las familias de malware que inflan el tamaño de sus binarios para tratar de evadir las detecciones por parte de las soluciones de seguridad, se trata de una técnica muy usada por el malware Grandoreiro”.

Para distraer a la víctima durante la ejecución del código malicioso, Grandoreiro muestra una pantalla que imita una validación de Adobe para visualizar el supuesto PDF con la citación judicial. Al final ese archivo no termina siendo mostrado.

Cuando llega al sistema, el troyano recopila nombres de usuario, contraseñas, información de tarjetas y detalles de cuentas bancarias, además de capturar información mostrada en la pantalla y grabar las pulsaciones del teclado.

Esta amenaza regresa a España acompañada de otra con origen igualmente latinoamericano, con el troyano Mekotio como protagonista. En este caso los ciberdelincuentes usan un supuesto comprobante de pago remitido por una empresa brasileña.

El link incluido en el cuerpo del mensaje redirige a la descarga de un fichero en formato ejecutable MSI para iniciar la cadena de infección. Mekotio también está preparado para robar información financiera y personal.

Desde ESET advierte sobre el peligro de caer en las redes de este tipo de campañas de ciberdelincuencia, aunque aseguran que “detectar estos correos fraudulentos y permanecer protegido” resulta “sencillo si nos fijamos en los detalles, desconfiamos de correos no solicitados (por mucho que digan provenir de fuentes de confianza) y contamos con soluciones de seguridad modernas y actualizadas”.