A pesar de la detención de importantes grupos a principios de 2024, Grandoreiro sigue siendo utilizado por sus socios en nuevas campañas. El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una nueva versión simplificada del troyano bancario, enfocada en México y dirigida a alrededor de 30 bancos.
Al ser una de las amenazas más activas a nivel mundial, Grandoreiro representa cerca del 5% de los ataques de troyanos bancarios de este año. México es uno de los países más atacados por las variantes de este malware, incluida la nueva versión simplificada, con 51 mil incidentes registrados.
Tras colaborar en una acción coordinada por INTERPOL, la cual ha llevado a las autoridades brasileñas a detener a los grupos detrás de una operación de Grandoreiro, Kaspersky descubrió que la base de código del grupo se ha dividido en versiones más ligeras y fragmentadas del troyano, para continuar con sus ataques. Un análisis reciente ha identificado una variante específica centrada principalmente en México, que se ha utilizado para atacar a aproximadamente 30 instituciones financieras. Es probable que los creadores tengan acceso al código fuente y estén lanzando nuevas campañas utilizando el malware heredado simplificado.
Todos los acontecimientos recientes subrayan la naturaleza evolutiva de la amenaza. Las versiones fragmentadas y más ligeras pueden representar una tendencia que podría extenderse más allá de México y otras regiones, incluso, más allá de América Latina. Sin embargo, creemos que sólo algunos afiliados de confianza tienen acceso al código fuente del malware para desarrollar dichas versiones simplificadas. Grandoreiro opera de forma diferente al modelo tradicional de ‘Malware-as-a-service’ (Malware como Servicio) al que estamos acostumbrados. No encontrarás anuncios en foros clandestinos vendiendo el paquete de Grandoreiro pues el acceso a él parece estar limitado”, explica Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Múltiples variantes de Grandoreiro, incluyendo la nueva versión ligera y el malware principal, representaron aproximadamente el 5% de los ataques globales de troyanos bancarios detectados por Kaspersky en 2024, lo que lo convierte en una de las amenazas más activas en todo el mundo. Kaspersky también ha analizado las muestras más recientes del Grandoreiro primario de 2024, y ha observado nuevas tácticas. Por ejemplo, registra la actividad del mouse de una computadora para imitar patrones reales de los usuarios, con el objetivo de eludir la detección de los sistemas de seguridad basados en aprendizaje automático que analizan el comportamiento. Al reproducir los movimientos naturales del mouse, el malware pretende engañar a las herramientas antifraude para que vean la actividad como legítima.
Además, Grandoreiro ha adoptado una técnica criptográfica conocida como Robo de Texto Cifrado (Ciphertext Stealing), que Kaspersky nunca había visto utilizada en malware. En este caso, su objetivo es cifrar las cadenas de código malicioso.
Grandoreiro tiene una estructura grande y compleja, lo que facilitaría la detección por parte de herramientas de seguridad o analistas si sus cadenas no estuvieran cifradas. Es probable que hayan introducido esta nueva técnica para complicar la detección y el análisis de sus ataques”, explica Fabio Assolini.
Los datos de Kaspersky indican que Grandoreiro lleva activo desde 2016. En 2024, la amenaza se ha dirigido a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios, añadiendo por último a Asia y África a la lista de sus objetivos, lo que la convierte en una amenaza financiera verdaderamente global.
Con información de Kaspersky