ESET España participa en una operación mundial para desarticular el troyano bancario Grandoreiro

ESET España ha tenido una participación muy activa durante la investigación que ha finalizado con la detención de varios integrantes del grupo de ciberdelincuentes responsables del troyano bancario, Grandoreiro.  Josep Albors, director de Investigación y Concienciación de ESET España ha sido uno de los expertos de ESET, y de otras empresas y organismos oficiales, que ha colaborado proporcionando inteligencia acerca de estas amenazas, lo que ha permitido a la Policía Federal de Brasil, la desarticulación de la botnet Grandoreiro.

Entre la inteligencia proporcionada encontramos análisis técnicos, información estadística y nombres de dominio y direcciones IP de servidores de comando y control (C&C). Además, gracias a un fallo de diseño en el protocolo de red de Grandoreiro, los investigadores de ESET también pudieron observar su victimología.

Desde ESET España se ha estado informando de muchas de las campañas relacionadas con esta botnet desde el blog del laboratorio de Ontinet, así como en diversas ponencias de prestigiosos eventos sobre ciberseguridad a nivel nacional y webinars. “Desde el inicio de las operaciones de Grandoreiro en España a principios de 2020 hemos estado realizando un seguimiento exhaustivo de las diferentes variantes usadas por los delincuentes, así como analizando sus tácticas, técnicas y procedimientos” explica Josep Albors, responsable de investigación y concienciación de ESET España. “Esto ha permitido proporcionar información esencial acerca del funcionamiento de esta amenaza, incluyendo las diversas plantillas de correos personalizadas que tenían como objetivo a usuarios españoles y que se diferenciaban de las utilizadas en otros países”.

Grandoreiro es uno de los muchos troyanos bancarios latinoamericanos, activo desde 2017, que tenía como objetivos a Brasil, México, España -que fue el país más atacado entre 2020 y 2022- y Argentina. Además, gracias a un fallo de diseño en el protocolo de red, los investigadores de ESET también han podido investigar la victimología del malware.

Figura 1. Tasa de detección de Grandoreiro (datos desde enero de 2020)

En cuanto a su funcionamiento, el troyano Grandoreiro monitorea periódicamente la ventana en primer plano para encontrar una que pertenezca a un proceso del navegador web. Cuando se encuentra una ventana de este tipo y su nombre coincide con cualquier cadena de una lista codificada de cadenas relacionadas con bancos, es cuando el malware inicia la comunicación con su servidor de C&C, enviando peticiones al menos una vez por segundo. El operador tiene que interactuar manualmente con la máquina comprometida para robar el dinero de la víctima, permitiendo bloquear la pantalla de la víctima, registrar las pulsaciones del teclado, simular la actividad del ratón y el teclado, compartir la pantalla de la víctima, y mostrar ventanas emergentes falsas.

Si bien su funcionalidad no ha cambiado mucho, Grandoreiro ha experimentado un desarrollo rápido y constante. «Los sistemas automatizados de ESET han procesado decenas de miles de muestras de Grandoreiro. El algoritmo de generación de dominios (DGA) que el malware ha utilizado desde octubre de 2020 produce un dominio principal por día, y es la única forma en que Grandoreiro puede establecer una conexión con un servidor C&C. Además de la fecha actual, la DGA también acepta una enorme configuración estática», explica el investigador de ESET Jakub Souček, quien coordinó el equipo que analizó Grandoreiro y otros troyanos bancarios latinoamericanos. «Grandoreiro es similar a otros troyanos bancarios latinoamericanos, en lo que respecta a su obvia funcionalidad centralizada y en la agrupación de sus descargadores dentro de los instaladores MSI». Sin embargo, se distingue de sus semejantes por su mecanismo único de relleno binario, que engrosa masivamente el ejecutable final.

Además, la implementación de Grandoreiro de su protocolo de red permitió a los investigadores de ESET analizar la victimología. “Al examinar estos datos durante más de un año, llegamos a la conclusión de que el 66% eran usuarios de Windows 10, el 13% usaban Windows 7, Windows 8 representaba el 12% y el 9% eran usuarios de Windows 11”, continúa explicando Jakub Souček “dado que Grandoreiro reporta una distribución geográfica poco confiable de sus víctimas, nos remitimos a la telemetría de ESET: España representa el 65% de todas las víctimas, seguido de México con el 14%, Brasil con el 7% y Argentina con el 5%; el 9% restante de las víctimas se encuentra en otros países de América Latina. También observamos que en 2023 vimos una disminución significativa de la actividad de Grandoreiro en España, compensada con un aumento de las campañas en México y Argentina”.

Los investigadores de ESET han proporcionado datos cruciales para identificar las cuentas responsables de configurar estos servidores. La investigación adicional llevada a cabo por la Policía Federal de Brasil ha conducido a la identificación y detención de las personas que controlaban estos servidores.

Para obtener más información técnica sobre Grandoreiro, consulta la publicación de blogs.protegerse.com.