GRANDOREIRO: fraude basado en inyecciones de código y phishing


Grandoreiro (también conocido como Delephant) es uno de los troyanos bancarios para Windows más activos en los últimos meses. Sus desarrolladores parecen estar especialmente interesados en usuarios españoles y latinoamericanos, ya que las entidades bancarias afectadas pertenecen a estas regiones.

Una de las principales características de este malware bancario es su estrategia de fraude, y es que destaca frente a otras estrategias populares, como el uso de inyecciones de código en el navegador de la víctima para interceptar las credenciales o para mostrar inyecciones web con phishing.

En el caso de Grandoreiro, sus desarrolladores han creado una herramienta de control remoto (RAT), lo que les permite controlar casi al completo el sistema de infectado, permitiéndoles ir más allá del robo de credenciales si así lo desean. Los atacantes están utilizando este troyano para robar el dinero de las cuentas de sus víctimas, y para ello, aprovechan las sesiones iniciadas en la web de la entidad., ya que la conexión con el servidor de control se realiza una web que el usuario accede a la web de la entidad.

Este banker nació en Brasil, o al menos eso indican las cadenas encontradas en el mismo, el cifrado utilizado para ocultarlas y el lenguaje en el que se encuentra desarrollado, Delphi, que es un lenguaje muy popular entre el malware brasileño. Lleva entre nosotros desde 2017, momento en el que comenzó afectando a entidades brasileñas, sin embargo, a mediados de 2019 comenzaron a verse las primeras muestras que añadían entidades españolas y mexicanas a la lista de entidades brasileñas.

Durante el análisis de diferentes muestras se han descubierto varias funcionalidades que permiten a los delincuentes robar el dinero de sus víctimas de forma satisfactoria. Se incluyen formularios falsos para robar los códigos de un solo uso, utilizados para autorizar diferentes acciones en las cuentas de las víctimas, registro de las pulsaciones de teclas (keylogging) para el robo de credenciales, y robo de contraseñas almacenadas en el navegador utilizado por el usuario. Esta funcionalidad unida al control remoto del equipo, son la combinación perfecta que están utilizando los atacantes para ganar dinero.

A continuación, se exponen los detalles técnicos, incluyendo las técnicas de infección y propagación del malware, la funcionalidad de robo de credenciales y de control remoto, y otra funcionalidad interesante que incluye este troyano y que lo convierte en un verdadero peligro.

Grandoreiro-malware-phishing-cover_ES

GRANDOREIRO: un malware con una estrategia de fraude basada en inyecciones de código y phishing para interceptar credenciales

Gradoreiro es uno de los troyanos bancarios para escritorio más activos en los últimos meses, causando una cantidad importante de daños a entidades bancarias y usuarios en España y Latinoamérica. 

Tras el análisis de diferentes muestras, podemos ver que la estrategia principal para robar el dinero de sus víctimas se basa en cometer el delito desde el propio ordenador del usuario.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.