viernes 8 - noviembre 2024
Buscar

Saldo negativo: la silenciosa epidemia de los troyanos bancarios

Grandoreiro, un sofisticado troyano bancario originario de Brasil, está vaciando cuentas en todo el mundo. Este malware evade la detección y engaña incluso a los usuarios más experimentados. Enteráte cómo opera y cómo hacer para mantener tus ahorros a salvo.

Ciberdelitos

Publicado

spot_img

Ese mediodía, Roberto entró a su homebanking como lo hacía habitualmente, tecleando cuidadosamente la URL en la barra de direcciones del navegador para reducir el riesgo de caer en una web falsa. Tras ingresar su nombre de usuario y la correspondiente contraseña, procedió a realizar una transferencia de dinero desde un Fondo Común de Inversión a su cuenta personal. 

De repente, una imagen que notificaba la realización de una actualización de seguridad ocupó toda la pantalla, bloqueando no solo el acceso al navegador, sino también al escritorio. El mensaje insistía en no apagar la computadora y esperar. Segundos después, una ventana emergente, aparentemente del banco, se abrió exigiendo el ingreso de un token de seguridad para continuar.

Confiando en la autenticidad del proceso, Roberto introdujo el código solicitado. La supuesta actualización pareció concluir y se encontró nuevamente en la web de su banco. Sin embargo, lo que debía ser solo un trámite más, rápidamente resultó en una desagradable sorpresa, al descubrir que sus cuentas habían sido vaciadas por completo. Roberto, al igual que miles de clientes bancarios alrededor del mundo, había sido víctima de Grandoreiro, un insidioso troyano bancario.

Originario de Brasil, este sofisticado malware ha estado activo al menos desde 2017, teniendo como objetivo inicial la banca brasileña y peruana, pero posteriormente se expandió al resto de América Latina y España. En enero de este año, agentes de la Policía Federal de Brasil, en colaboración con Interpol y la Policía Nacional de España, anunciaron la detención de cinco ciberdelincuentes que aparentemente se encontraban detrás de las operaciones de este malware. Sin embargo, esta medida parece no haber afectado el funcionamiento de este peligroso troyano bancario, ya que a partir del mes de marzo regresó con mayor fuerza, transformado ahora en una amenaza global.

Algunos bancos comenzaron a advertir a sus usuarios para que estén alertas.

Anatomía del contagio

El malware Grandoreiro se distribuye usualmente a través de campañas de phishing, mediante correos electrónicos fraudulentos que aparentan provenir de entidades legítimas. Estos mensajes están diseñados para intentar engañar a los usuarios y lograr que involuntariamente descarguen e instalen el troyano en sus computadoras. Este fue el método elegido durante los pasados meses de mayo y  junio por los ciberdelincuentes, quienes utilizaron correos aparentemente enviados por Afip, empresas de telefonía móvil, Mercado Pago e incluso la EPE.

Correo de phishing de la EPE, prácticamente indistinguible de uno legítimo.

 A diferencia de la gran mayoría de los correos de phishing, que suelen ser burdas imitaciones plagadas de errores ortográficos, en este caso los mails enviados no solo son prácticamente indistinguibles de los originales, sino que están meticulosamente diseñados para imitar la comunicación oficial de las entidades suplantadas. Además de los logotipos correctos, la tipografía adecuada y el tono y estilo de escritura típico de estas empresas, también emplean estrategias avanzadas para evadir la detección.

Uno de estos métodos es el spoofing, una técnica que implica la falsificación del remitente para que parezca provenir de una fuente auténtica y confiable. El spoofing va más allá de simplemente cambiar el nombre visible del remitente; los atacantes manipulan los encabezados del correo electrónico para que pasen los controles de autenticación básicos y  hacer que el correo parezca provenir del dominio real de la entidad suplantada. Este y otros métodos utilizados hacen que los correos maliciosos sean extremadamente difíciles de detectar, aun para los filtros de spam más modernos.

Esta combinación de técnicas sofisticadas, junto al contenido cuidadosamente elaborado, hace que los correos de phishing mediante los que se distribuye Grandoreiro sean excepcionalmente convincentes y, por lo tanto, peligrosos. Incluso usuarios experimentados y naturalmente recelosos pueden ser engañados por estos sofisticados intentos de phishing. 

En caso de que la víctima descargue el archivo adjunto, usualmente un archivo comprimido .zip, es probable que se encuentre con lo que aparenta ser un documento PDF o un archivo de Word. Sin embargo, al abrirlo y ejecutarlo, no se instalará directamente el malware, sino un "downloader" o descargador. Este programa intermedio es el encargado de descargar e instalar el troyano posteriormente. Esta estrategia de infección en dos etapas dificulta aún más la detección por parte de los programas antivirus, ya que el archivo inicial puede parecer inofensivo en un primer análisis. 

Spoofing en un correo phishing elaborado meticulosamente.

El descargador no solo instala y ejecuta el troyano bancario principal, sino que además recopila información del sistema y la envía a un servidor de comando y control, una suerte de punto central desde donde los atacantes pueden enviar instrucciones y recibir datos de los sistemas infectados. Una vez instalado, Grandoreiro también puede ejecutar comandos, registrar pulsaciones de teclas, imitar movimientos del mouse y del teclado, restringir el acceso a sitios web específicos y actualizarse automáticamente. Por si fuera poco, este malware utiliza técnicas de ofuscación muy avanzadas, por lo que no son muchas las herramientas antivirus capaces de detectarlo.

Una vez infectado el sistema, el malware permanece latente, monitoreando silenciosamente la actividad del usuario a la espera de que acceda a su homebanking. En el momento en que la víctima ingresa sus credenciales en la plataforma bancaria, el troyano entra en acción. Inmediatamente, despliega una pantalla que simula una actualización, ya sea de seguridad, del sistema operativo, o del propio banco. Independientemente de la excusa, el objetivo es mantener al usuario en espera mientras se desarrolla el supuesto proceso. 

Operativo con detenidos por el troyano bancario Grandoreiro en enero de 2024.

Mientras esto sucede, un ciberdelincuente toma control remoto de la computadora -una de las funcionalidades  del troyano- y comienza a realizar transferencias a cuentas de terceros. Para completar estas transacciones fraudulentas, el atacante necesita un token de seguridad, que solicita al titular de la cuenta a través de una ventana emergente que aparece sobre la imagen que bloquea el acceso al escritorio. El usuario, creyendo que esto forma parte del proceso de actualización, ingresa el token sin sospechar que está autorizando las transferencias que vaciarán sus cuentas. Una vez completadas las transacciones, el malware simula el fin de la supuesta actualización y desbloquea el acceso al sistema. En ese momento la víctima recupera el control de su computadora, solo para descubrir la desagradable novedad: sus cuentas han sido vaciadas.

Grandoreiro no solo es un malware extremadamente sofisticado y en constante evolución, sino que además la elaborada técnica de phishing utilizada para su distribución lo convierte en una grave amenaza para el sistema bancario y sus clientes. Algunas instituciones financieras están al tanto de la situación y han comenzado a advertir a los usuarios para que estén alertas ante determinadas señales de infección. Sin embargo, la naturaleza elusiva de este troyano, su capacidad para evadir la detección y especialmente el ingenio y la inventiva de sus desarrolladores, hacen que la prevención sea un desafío considerable

No basta con tener instalado un antivirus y descansar en él, ya que confiar plenamente en una sola herramienta relaja la atención y nos hace bajar la guardia. La seguridad digital efectiva requiere una combinación de herramientas. Entre las más importantes, mantenerse informado y naturalmente desconfiado.

Fuente: Rosario 3 - Fernando Bruzzoni

Más noticias

Policiales

Falleció la mujer que había sido prendida fuego por su pareja

Desde Jefatura Departamental Colón dieron a conocer este jueves por la tarde el deceso de quien resultara víctima en el hecho ocurrido en la noche del martes en la ciudad de San José, luego de sufrir fallas multiorgánicas.
Educación

Provincia ofreció a los docentes cambiar bases de cálculos, cobertura contra la inflación y pago de desfasaje

Este jueves, el gobierno de Entre Ríos formuló una nueva oferta salarial a los gremios docentes, que incluye cambios en las bases de cálculo, cobertura contra la inflación con una actualización mes a mes y el pago del desfasaje del segundo semestre de este año en febrero de 2025.
Internacionales

J.J. Benítez estará en el próximo Congreso Internacional OVNI de Victoria

¡Impacto confirmado! El próximo 16, 17 y 18 de mayo de 2025 se realizará el IX Congreso Internacional OVNI de Victoria, con un imán muy especial para los amantes del misterio: la presencia estelar del periodista, escritor e investigador español, Juan José Benítez. El evento promete ser el acontecimiento del año. Los interesados deberán estar muy atentos, ya que este viernes se lanzará una preventa preferencial de entradas. ¿Te lo vas a perder?

te puede interesar

Ciberdelitos

El testimonio de 3 mujeres cuyos rostros fueron usados para editar y difundir material pornográfico

En San Jerónimo Sud, a 35 kilómetros de Rosario, 25 mujeres vivieron la desagradable sorpresa de encontrar sus rostros en material pornográfico en septiembre del año pasado. Las imágenes y videos había sido editados y sus caras, nombres y apellidos aparecían en este tipo de contenido. Después de casi un año de calvario, las pericias realizadas dieron con el responsable. Ahora, algunas de ellas alzan su voz para combatir tanto tiempo de silencio y contar el horror que tuvieron que atravesar.
Ciberdelitos

Robaron el celular de un cura y estafaron a varias personas

Al menos cinco personas de Paraná y La Paz fueron estafadas, vía WhatsApp, con la venta de dólares mediante transferencias. Según trascendió, el Padre Mario Taborda, actualmente párroco de San Benito, sufrió el robo de su celular, le hackearon la cuenta de WhatsApp, redes sociales y ofrecieron dólares a sus contactos, algunos de los cuales cayeron en la estafa, motivo por el cual transfirieron importantes sumas de dinero.
Ciberdelitos

Mediante la aplicación TeamViewer, estafadores le robaron a una entrerriana 10 millones de pesos

Una aplicación, que permite tomar el control remoto de plantillas y programas digitales, fue la vía con la cual un estafador operó en la cuenta bancaria de la damnificada. El ardid sucedió el martes pasado, aunque la víctima terminó por convencerse que había sido estafada el viernes 14, cuando formalizó la denuncia en Rosario del Tala.

Desde 2003, Será Noticia es el portal informativo con mayor cantidad de seguidores de la ciudad de Victoria, provincia de Entre Ríos.

SN Comuniaciones. Todos los derechos reservados © 2013 - 2024 SERÁ NOTICIA - Victoria Entre Ríos Argentina