"Algunos grupos de delincuentes también se toman vacaciones", afirma Josep Albors, director de investigación y concienciación de la empresa de ciberseguridad ESET España. La última vez que detectaron una muestra del malware bancario Grandoreiro fue el pasado mes de mayo, sin embargo, pare que los atacantes han vuelto a la carga.
Albors asegura que los ciberdelincuentes han reutilizado una falsa factura de Vodafone que ya se había mandado a través de correos electrónicos en 2020. El asunto de los emails hace referencia a una supuesta multa y en el cuerpo del mensaje hablan de una fecha límite de pago que dé una sensación de urgencia al usuario para que no piense en la posibilidad de que sea un timo.
Los ciberdelincuentes facilitan dos métodos para acceder a la falsa factura: en formato PDF o en formato VBS. Independientemente de la opción que escoja la víctima, se le redirigirá a la descarga de una carpeta comprimida desde un servidor controlado por los suplantadores.
Durante meses, Grandoreiro ha permanecido casi inactivo y los estafadores han aprovechado este tiempo para mejorarlo. Albors detalla que "el ejecutable incluido dentro del fichero comprimido descargado actúa como downloader y no es el que se había estado usando de forma genérica hasta hace poco". El experto considera que esta versión mejorada se haya creado específicamente para esta campaña de phishing.
"Este downloader se conecta a una URL que los delincuentes han preparado y desde donde obtiene otros dos enlaces que se generan en cada visita", apunta Albors. El primero de los links descarga un fichero XML que es un payload que pertenece al virus informático bancario.
Por otro lado, el archivo PHP redirige a una página de 'Google.com' que los investigadores creen que podría usarse como algún tipo de registro de las víctimas. Según ESET, pese a sus errores al tratar de ocultar la infraestructura, este tipo de amenazas llevan años empleándose en Latinoamérica y otros países como España e infectando varios móviles.
La compañía de seguridad informática aconseja desconfiar de los mensajes que hacen referencia a facturas de multas que no hayamos cometido. En estos casos, los usuarios deben eliminar el correo directamente, sin abrir los archivos ni clicar sobre los enlaces facilitados.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios