GRANDOREIRO: fraude basado en inyecciones de código y phishing


Grandoreiro (también conocido como Delephant) es uno de los troyanos bancarios para Windows más activos en los últimos meses. Sus desarrolladores parecen estar especialmente interesados en usuarios españoles y latinoamericanos, ya que las entidades bancarias afectadas pertenecen a estas regiones.

Una de las principales características de este malware bancario es su estrategia de fraude, y es que destaca frente a otras estrategias populares, como el uso de inyecciones de código en el navegador de la víctima para interceptar las credenciales o para mostrar inyecciones web con phishing.

En el caso de Grandoreiro, sus desarrolladores han creado una herramienta de control remoto (RAT), lo que les permite controlar casi al completo el sistema de infectado, permitiéndoles ir más allá del robo de credenciales si así lo desean. Los atacantes están utilizando este troyano para robar el dinero de las cuentas de sus víctimas, y para ello, aprovechan las sesiones iniciadas en la web de la entidad., ya que la conexión con el servidor de control se realiza una web que el usuario accede a la web de la entidad.

Este banker nació en Brasil, o al menos eso indican las cadenas encontradas en el mismo, el cifrado utilizado para ocultarlas y el lenguaje en el que se encuentra desarrollado, Delphi, que es un lenguaje muy popular entre el malware brasileño. Lleva entre nosotros desde 2017, momento en el que comenzó afectando a entidades brasileñas, sin embargo, a mediados de 2019 comenzaron a verse las primeras muestras que añadían entidades españolas y mexicanas a la lista de entidades brasileñas.

Durante el análisis de diferentes muestras se han descubierto varias funcionalidades que permiten a los delincuentes robar el dinero de sus víctimas de forma satisfactoria. Se incluyen formularios falsos para robar los códigos de un solo uso, utilizados para autorizar diferentes acciones en las cuentas de las víctimas, registro de las pulsaciones de teclas (keylogging) para el robo de credenciales, y robo de contraseñas almacenadas en el navegador utilizado por el usuario. Esta funcionalidad unida al control remoto del equipo, son la combinación perfecta que están utilizando los atacantes para ganar dinero.

A continuación, se exponen los detalles técnicos, incluyendo las técnicas de infección y propagación del malware, la funcionalidad de robo de credenciales y de control remoto, y otra funcionalidad interesante que incluye este troyano y que lo convierte en un verdadero peligro.

Grandoreiro-malware-phishing-cover_ES

GRANDOREIRO: un malware con una estrategia de fraude basada en inyecciones de código y phishing para interceptar credenciales

Gradoreiro es uno de los troyanos bancarios para escritorio más activos en los últimos meses, causando una cantidad importante de daños a entidades bancarias y usuarios en España y Latinoamérica. 

Tras el análisis de diferentes muestras, podemos ver que la estrategia principal para robar el dinero de sus víctimas se basa en cometer el delito desde el propio ordenador del usuario.

 

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo