En los correos que llevamos observando desde hace unas horas observamos cómo los delincuentes detrás de esta campaña están usando supuestos vencimientos de facturas como, por ejemplo, de una proveedora de energía eléctrica. Como punto importante, los casos analizados hasta el momento utilizan plantillas que hacen referencia a empresas de países de América Latina como México, lo cual puede ayudar a usuarios españoles a detectarlos como emails sospechosos.

Como en tantas otras ocasiones anteriores, la intención de los criminales es que el usuario que reciba este tipo de correos se preocupe y pulse sobre los enlaces que, supuestamente, le llevarán a descargar esa factura vencida. La utilización de facturas o documentos similares como cebo y la generación de una sensación de urgencia en el mensaje son tácticas habituales en este tipo de mensajes, empleadas para que los usuarios bajen la guardia y sigan las instrucciones proporcionadas por los delincuentes.

En caso de que se pulse sobre el enlace proporcionado en el cuerpo del mensaje, seremos redirigidos a la descarga de un fichero alojado en Azure, fichero que no debería durar mucho tiempo alojado en ese servicio de Microsoft, pero con que solo esté disponible unas horas ya basta para que los delincuentes consigan víctimas suficientes como para rentabilizar esta campaña.

En este punto debemos destacar que, a diferencia de muchas ocasiones anteriores, los delincuentes se han molestado en incluir una imagen con el icono de un fichero PDF, una referencia a Madrid y la fecha de hoy. Es posible que estén tratando de depurar sus técnicas para tratar de hacer más convincente el engaño una vez se ha pulsado el enlace, aunque eso es algo que tendremos que comprobar en campañas que analicemos durante los próximos meses.

A pesar de este pequeño cambio, volvemos a encontrarnos con un fichero comprimido que contiene, a su vez, dos archivos en su interior. Por un lado, encontramos un fichero XML legítimo, aunque en realidad se trate de una librería DLL, mientras que también encontramos un fichero EXE ejecutable con un tamaño muy superior al que tiene comprimido (113 MB frente a 3,8MB).

El tamaño de este fichero ya nos puede hacer sospechar de ante qué tipo de amenaza estamos, y aunque el troyano bancario Grandoreiro no es el único malware que utiliza técnicas de hinchado de ficheros para tratar de eludir su análisis por soluciones automatizadas, sí que es uno de los más abundantes actualmente.

También comprobamos que, al ejecutar este código malicioso, se muestra primero una ventana solicitando comprobar que somos una persona. Esto es algo que los creadores de este tipo de amenazas y otras han venido incluyendo desde hace tiempo para dificultar el análisis de sus muestras por sistemas de sandbox automatizados, aunque puede ser sorteado sin demasiadas dificultades.

Tal y como era de esperar, las soluciones de seguridad de ESET detectan esta amenaza como una variante del troyano bancario Win32/Spy.Grandoreiro.CM. Recordemos que este troyano está especializado en el robo de credenciales de banca online, algo que luego pueden usar los delincuentes para sustraer dinero si consiguen también engañar al usuario para que les proporcione los códigos de seguridad que emiten las entidades bancarias al realizar transferencias desde nuestras cuentas.

Conclusión
Por varios de los puntos comentados, parece que estamos ante una campaña a medio hacer que permiten a los usuarios que se fijen en los detalles reconocer que se encuentran ante una trampa. No obstante, es sobradamente conocida la persistencia de estos grupos de delincuentes, por lo que no debemos bajar la guardia y contar con una solución de seguridad capaz de detectar y eliminar estas amenazas.