Uno de los troyanos bancarios de esa regi\u00f3n que lleva m\u00e1s tiempo apuntando a los usuarios espa\u00f1oles como es Grandoreiro ha regresado estos d\u00edas con una campa\u00f1a similar a otras que hemos visto anteriormente pero con algunos ligeros cambios. El primero de estos cambios es la suplantaci\u00f3n de una empresa de seguros en lugar de una\u00a0compa\u00f1\u00eda el\u00e9ctrica<\/a> como hab\u00edamos visto en varias ocasiones. Esta campa\u00f1a se habr\u00eda iniciado el pasado 1 de julio con el env\u00edo de una cantidad reducida de mensajes, pasando a desactivarse a continuaci\u00f3n y a reactivarse en la ma\u00f1ana de hoy 3, 3 de junio. Este tipo de mini-campa\u00f1as de propagaci\u00f3n con una duraci\u00f3n aproximada de un d\u00eda es algo bastante com\u00fan en Grandoreiro..<\/p>\n En el cuerpo del email, con asunto \u201cCarta del cobro \u2013 Allianz Seguros\u201d vemos como los delincuentes est\u00e1n usando el logo de la empresa aseguradora Allianz, reclamando el pago de una factura y proporcionando un enlace desde donde, supuestamente se puede descargar. El plazo para el pago finaliza hoy mismo por lo que se genera una sensaci\u00f3n de urgencia, adem\u00e1s de amenazar con un proceso judicial. Cabe destacar que la redacci\u00f3n del mensaje contiene fallos y se nota que ha sido redactada por alguien cuyo idioma nativo sea el portugu\u00e9s en lugar del espa\u00f1ol.<\/p>\n Como en casos anteriores, el enlace proporcionado nos redirige a una web preparada por los atacantes y que simula ser legitima y perteneciente a la empresa suplantada. Desde esa web se redirige a su vez a la descarga el archivo \u201cAllianz-Cobro-03072020.zip\u201d, archivo que se encuentra en el servicio de alojamiento de ficheros Mediafire, tal y como viene siendo habitual en este tipo de campa\u00f1as.<\/p>\n Al abrir este archivo podemos comprobar como contiene dos ficheros, un ejecutable con el mismo nombre del archivo ZIP haciendo referencia a la factura y otro con el nombre cambiado y que en realidad se trata del archivo leg\u00edtimo \u201cmsedge_proxy.exe\u201d, que suele utilizarse como parte del proceso para \u201cinstalar\u201d una p\u00e1gina web en el sistema como si fuera una aplicaci\u00f3n web.<\/p>\n Una vez el usuario muerde el anzuelo y pulsa sobre el fichero ejecutable vemos como aparece una ventana conocida de campa\u00f1as anteriores donde se nos pide pulsar un bot\u00f3n para poder visualizar la factura. Adem\u00e1s de para ofrecer una cierta sensaci\u00f3n de legitimidad, este sencillo mecanismo podr\u00eda estar pensado por los delincuentes para que los sistemas de an\u00e1lisis de malware automatizados no pudiesen salt\u00e1rselo, al requerir una interacci\u00f3n por parte del usuario, y no vieran la segunda fase de ejecuci\u00f3n esta amenaza.<\/p>\n En \u00faltima instancia, lo que el usuario termina viendo en su pantalla es, efectivamente, una factura con el logo de la empresa suplantada. Una factura con datos que no son los suyos y direcciones que no se corresponden con ninguna direcci\u00f3n real en las dos ciudades mencionadas. Tampoco el concepto tiene nada que ver con los servicios que deber\u00eda prestar una empresa aseguradora, trat\u00e1ndose en este caso de referencias al dise\u00f1o de una web, material gr\u00e1fico y formaci\u00f3n de marketing.<\/p>\n De hecho, si nos paramos a revisar atentamente algunos de los campos que componen esta supuesta factura comprobaremos como los delincuentes parecen estar gastando una broma pesada a la v\u00edctima. El uso del nombre \u201cEncarna Vales\u201d y la calle \u201cRio de Janeiro\u201d como direcci\u00f3n (adem\u00e1s de la web y email usados) parece una clara referencia a los carnavales de Brasil, pa\u00eds de procedencia de la mayor\u00eda de estos troyanos bancarios. Lo mismo para los datos del cliente usando \u201cFlor de Loto\u201d como nombre de la supuestamente, ubicada en la \u201cCalle Kyoto\u201d de Barcelona.<\/p>\n Misma amenaza con algunos detalles interesantes<\/strong><\/p>\n Tal y como indic\u00e1bamos al principio del art\u00edculo, las campa\u00f1as de troyanos bancarios como Grandoreiro suelen ser frecuentes. Esto no significa que los delincuentes no realicen alg\u00fan cambio entre campa\u00f1a y campa\u00f1a para optimizar sus amenazas y mejorar su porcentaje de \u00e9xito. La inclusi\u00f3n de un segundo fichero leg\u00edtimo dentro del archivo ZIP descargado podr\u00eda ser un indicativo de que est\u00e1n probando nuevos m\u00e9todos de descarga y ejecuci\u00f3n de la segunda fase del malware.<\/p>\n Conclusi\u00f3n<\/strong><\/p>\n Nos encontramos ante una nueva muestra del troyano bancario Grandoreiro que, si bien sigue utilizando m\u00e9todos de propagaci\u00f3n y cadenas de infecci\u00f3n muy similares a las vistas en ocasiones anteriores, hay algunos puntos que demuestran que los delincuentes est\u00e1n intentando evolucionar su amenaza. Por ese motivo conviene estar alerta cuando recibamos correos como el que hemos analizado y protegernos con\u00a0soluciones de seguridad<\/a>\u00a0que puedan detectar y bloquear este tipo de amenazas.<\/p>\n <\/p>\n Fuente: https:\/\/blogs.protegerse.com\/<\/p>\n","protected":false},"excerpt":{"rendered":" Los delincuentes responsables de troyanos bancarios provenientes de Latinoam\u00e9rica hace meses que encontraron un objetivo muy interesante y rentable entre los usuarios espa\u00f1oles. Actualmente es…<\/p>\n![\"\"](\"https:\/\/www.semsin.es\/web\/wp-content\/uploads\/2020\/07\/allianz1b-768x325-1.png\")
<\/p>\n![\"\"](\"https:\/\/www.semsin.es\/web\/wp-content\/uploads\/2020\/07\/allianz5b-768x737-1.png\")
<\/p>\n