Una nueva campaña de estafa a través del correo electrónico utiliza supuestos vencimientos de facturas para propagar nuevas muestras del troyano Grandoreiro para robar credenciales de servicios bancarios ‘online’.
PUBLICIDAD
Algunos usuarios empresariales están recibiendo correos electrónicos con el aviso del vencimiento de una factura, un tipo de contenido que en realidad busca generar alarma para que caen en la trampa y descarguen un fichero malicioso.
Échale un ojo: WhatsApp introduce nuevos formatos de texto para resaltar mensajes
El correo electrónico con el supuesto vencimiento de factura incluye un enlace en el cuerpo del mensaje que redirige a un fichero alojado en Azure. Este “debería durar mucho tiempo alojado en ese servicio de Microsoft, pero con que solo esté disponible unas horas ya basta para que los delincuentes consigan víctimas suficientes como para rentabilizar esta campaña”, explican desde ESET.
El fichero que encontrará la víctima presenta un diseño más sofisticado que en otras campañas, ya incluye el icono de un documento en formato PDF, una referencia a Madrid y la fecha del día. Desde la firma de ciberseguridad indican que este fichero está comprimido y que contiene dos archivos: uno XML legítimo, aunque en realidad se trate de una librería DLL, y un EXE ejecutable.
También destacan que este fichero ejecutable tiene “un tamaño muy superior al que tiene comprimido”, algo que debería hacer sospechar a la víctima de que está ante una amenaza. En este caso, el troyano Grandoreiro, que utiliza una técnica conocida como hinchado de ficheros para evitar ser detectado por soluciones de seguridad automatizadas.
Para seguir pasando desapercibido, una vez se ejecuta el código malicioso, aparece primero una ventana solicitando comprobar que la víctima es una persona y no una máquina. Sin embargo, las soluciones de seguridad de ESET detectan esta amenaza como una variante del troyano bancario Win32/Spy.Grandoreiro.CM.
Te recomendamos: Correo electrónico y descargas de internet son las principales armas para los ciberdelincuentes
Este troyano está especializado en el robo de credenciales de servicios de banca digital. Si los cibercriminales las consiguen, tienen entonces vía libre para robar el dinero de las víctimas, sobre todo si también logran engañar a los usuarios para que les proporcione los códigos de seguridad que emiten las entidades bancarias al realizar transferencias.
Los casos que ha analizado la firma de ciberseguridad utilizan plantillas que hacen referencia a empresas de países de América Latina como México, aunque creen que la experiencia de esta campaña puede ayudar a usuarios españoles a detectar los ‘emails’ sospechosos.