Kaspersky descubrió una nueva versión simplificada del troyano bancario de origen brasileño Grandoreiro enfocada en México y dirigida a alrededor de 30 instituciones financieras.
El malware de alcance global porque opera como servicio (MaaS, por su acrónimo en inglés) roba credenciales de acceso y contraseñas, así como datos de cuentas o tarjetas bancarias de entidades financieras, desde bancos, fintechs, cooperativas y cajas de ahorro, hasta empresas que emiten tarjetas o tienen sistemas de pagos.
Aunque la firma de ciberseguridad registra que Grandoreiro lleva activo al menos desde 2016, en los últimos tres años ha reportado 51,000 incidentes en el país. México ha sido el segundo más atacado por el troyano, después de Brasil.
En 2022, contabilizó 14,000 ataques de esta amenaza; en 2023, la cifra se duplicó a 31,000, y en los primeros cuatro meses de 2024 contó 8,100. Esta actividad fue la principal causa por la que los ataques troyanos bancarios en el país crecieron 41% el año pasado.
A principios de 2024, las autoridades brasileñas, en una operación coordinada por la Interpol en la que participó la firma de ciberseguridad, arrestaron a cinco administradores que estaban detrás de Grandoreiro.
La nueva variente de Grandoreiro en México
En un análisis reciente, el Equipo de Investigación y Análisis Global (GReAT, por su acrónimo en inglés) identificó una variante específica de Grandoreiro centrada principalmente en México, que se ha utilizado para atacar a aproximadamente 30 instituciones financieras.
La firma dijo que la base de código del grupo se ha dividido en versiones más ligeras y fragmentadas del troyano, para continuar con sus ataques. Incluso, es probable que los creadores tengan acceso al código fuente y lancen nuevas campañas con el malware heredado simplificado.
El director de GreAT para América Latina de Kaspersky, Fabio Assolini, explicó en un comunicado que todos los acontecimientos recientes subrayan la naturaleza evolutiva de la amenaza.
“Las versiones fragmentadas y más ligeras pueden representar una tendencia que podría extenderse más allá de México y otras regiones, incluso, más allá de América Latina”, apuntó.
Sin embargo, apuntó, “creemos que solo algunos afiliados de confianza tienen acceso al código fuente del malware para desarrollar dichas versiones simplificadas”.
La complejidad de Grandoreiro
Assolini explicó que Grandoreiro opera de forma diferente al modelo tradicional de MaaS pues no se encuentran anuncios en foros clandestinos que vendan el paquete del troyano. “Su acceso parece estar limitado”, explicó
Sus múltiples variantes, incluyendo la nueva versión ligera y el malware principal, representaron aproximadamente el 5% de los ataques globales de troyanos bancarios detectados por Kaspersky en 2024, lo que lo convierte en una de las amenazas más activas en todo el mundo.
Kaspersky dijo que ha analizado las muestras más recientes del Grandoreiro primario de 2024, y ha observado nuevas tácticas.
Por ejemplo, registra la actividad del mouse de una computadora para imitar patrones reales de los usuarios, con el objetivo de eludir la detección de los sistemas de seguridad basados en aprendizaje automático que analizan el comportamiento. Al reproducir los movimientos naturales del mouse, el malware pretende engañar a las herramientas antifraude para que vean la actividad como legítima.
Además, Grandoreiro ha adoptado una técnica criptográfica conocida como Robo de Texto Cifrado (Ciphertext Stealing), que la firma de ciberseguridad nunca había visto utilizada en malware. En este caso, su objetivo es cifrar las cadenas de código malicioso.
“Grandoreiro tiene una estructura grande y compleja, lo que facilitaría la detección por parte de herramientas de seguridad o analistas si sus cadenas no estuvieran cifradas. Es probable que hayan introducido esta nueva técnica para complicar la detección y el análisis de sus ataques”, señaló Assolini.
Los datos de Kaspersky indican que Grandoreiro lleva activo desde 2016. En 2024, la amenaza se ha dirigido a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios, añadiendo por último a Asia y África a la lista de sus objetivos, lo que la convierte en una amenaza financiera verdaderamente global.
