Campaña Grandoreiro Mercadona

Campaña Grandoreiro Mercadona

Introducción

En el último año, los troyanos bancarios procedentes de América Latina han ocupado gran parte de los titulares en los países de habla hispana. Siendo Brasil el país residente de gran parte de estos autores de malware, durante mucho tiempo han limitado sus ataques a clientes de bancos locales. Sin embargo, ávidos de obtener un mayor monto económico, las operaciones y ataques perpetrados por estos criminales han sido expandidos al extranjero, afectando actualmente a bancos de diferentes países de habla hispana. 

Cada vez más, los autores de estos ataques están poniendo el ojo en España, hecho que queda reflejado con el significativo aumento de campañas de distribución de estos malware en los últimos meses. Entre ellos, cabe destacar la presencia del troyano bancario Grandoreiro, troyano implicado en un gran número de fraudes a clientes en el país y que en la actualidad afecta a usuarios de países como Brasil, México, Perú, España y recientemente Portugal.

Durante esta semana, el equipo de BOTECHFPI ha detectado una nueva campaña de distribución de este malware enfocada en clientes de la empresa Mercadona. Como viene siendo habitual en otras campañas observadas hasta el momento, el malware está siendo distribuido a través de correos de spam como una falsa factura de la empresa.

Características

Las características más notables de este malware desarrollado en Delphi son el gran tamaño de sus binarios y la rápida actualización de su desarrollo, lo que dificulta su detección y análisis por parte de los sistemas de detección automáticos como los antivirus, algo que recuerda al malware estudiado hace 15 años.

La peligrosidad de este troyano reside en la facilidad con la que lleva a cabo el fraude a clientes de banca. De forma similar a otros troyanos bancarios latinoamericanos, hace uso de la técnica de superposición de ventanas falsas con la finalidad de engañar al usuario.

Cuando el cliente accede a una de las entidades bancarias registradas en el malware, el atacante es notificado y puede tomar el control remoto del equipo infectado. De la misma manera, el delincuente puede mostrar ventanas falsas superponiéndolas a las originales y de esta forma hacer creer a la víctima que se trata de la página web legítima del banco.

El troyano dispone de una gran variedad de ventanas falsas que pueden ser utilizadas para solicitar en tiempo real cualquier dato necesario para llevar a cabo la transferencia fraudulenta. Durante el proceso de análisis de este malware, se han detectado ventanas que solicitan el número de la tarjeta de crédito, número de teléfono, CVV, fecha de caducidad o incluso los códigos de un solo uso del doble factor de autenticación o los caracteres asociados a la firma electrónica.

Adicionalmente, el troyano cuenta con la funcionalidad para bloquear y reiniciar el equipo, registrar pulsaciones del teclado e interaccionar con el navegador web.

Análisis técnico

Como se ha comentado anteriormente, el troyano bancario Grandoreiro está siendo distribuido a través de correos electrónicos de spam suplantando a la empresa Mercadona. Dicho correo contiene una redirección a un sitio web fraudulento desde el que se descarga el archivo comprimido “file.wnql-pcvl-tumz-.zip”.

Ilustración 1: Descarga del archivo zip desde el sitio web fraudulento.

Una vez descomprimido, se observa un fichero VBS que simula ser una factura de Mercadona, “MercadonafactonlineGLOPUVVXYaac.vbs”.

Ilustración 2: Archivo VBS contenido en el fichero zip descargado.

El fichero citado es el encargado de iniciar el proceso de descarga e infección en el equipo de la víctima. El siguiente esquema muestra las diferentes fases que conforman el proceso de infección:

Ilustración 3: Esquema del proceso de infección del equipo de la víctima.

Para un mayor entendimiento del proceso de infección, se detallarán cada una de las fases implicadas en el mismo.

Primera fase de la infección (fichero .vbs):

Nombre: MercadonafactonlineGLOPUVVXYaac.vbs

MD5: efe89d0e97096ce923703d00a849d790

SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b

En primer lugar, el fichero realiza una petición para conocer la geolocalización de su víctima. El proceso de infección seguirá adelante únicamente si el país corresponde con España, lo que implica que se trata de una campaña exclusivamente dirigida a usuarios españoles.

Ilustración 4: Fichero VBS que simula ser una factura de Mercadona.

Para aquellos usuarios españoles, realizará una petición adicional al fichero aff.bak y de esta forma seguirá con el proceso de infección.

Segunda fase de la infección (fichero .bak):

Nombre: aff.bak

MD5: c3f19f13c78c0bd1433e7ef8f4231951

SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b

Este fichero secundario será el encargado de llevar a cabo la descarga y ejecución del malware en el equipo de la víctima.

Ilustración 5: Primera parte del fichero encargado de llevar a cabo el proceso de infección.
Ilustración 6: Segunda parte del fichero encargado de llevar a cabo el proceso de infección.

El fichero realiza la descarga de un módulo adicional de 7MB llamado “zufdcgipjjg.iso”. No es la primera vez que el malware hace uso de imágenes ISO; estos contenedores disponen de todos los archivos necesarios para llevar a cabo la infección en el equipo.

El servidor cuenta con dos imágenes ISO y ambas han sido utilizadas durante esta campaña.

Ilustración 7: Servidor de descarga de imágenes ISO y fichero de infección.

En el presente caso, se han detectado 45 descargas del malware y 36 descargas del fichero utilizado para llevar a cabo la infección.

Una vez descargada la imagen, comprueba la existencia de las carpetas “C:\REALTECKyC:\binghuin en el equipo y, en caso negativo, las crea. Posteriormente, extrae los ficheros temporales CF7BB75B.zip» yC2lKKJ.zip que, tras ser descomprimidos, dan lugar al archivo ejecutable “C:\REALTEC\zufdcgipjjg.exe”.

Ilustración 8: Tráfico de red del equipo tras la ejecución del fichero VBS.

Adicionalmente, el fichero realiza una petición a “index.php” para almacenar información de la ip, ciudad, comunidad autónoma y país en el fichero “dados.txt”. Cabe destacar que esta información es almacenada únicamente si el país es España.

Ilustración 9: Fichero PHP utilizado para registrar información sobre las víctimas.

Durante el momento del análisis, el fichero “hxxp://globlesolution[.]online/spain/dados[.]txt” contenía 17 registros.

Ilustración 10: Fichero dados.txt con información sobre las víctimas.

El fichero hxxp://globlesolution[.]online/spain/ler[.]php permite una mejor visualización de los datos de las víctimas.

Ilustración 11: Fichero ler.php con información sobre las víctimas.

Fase final de la infección (Grandoreiro):

Nombre: zufdcgipjjg.exe

MD5: 3c5ffd0845214e4a7d7fc98fed618112

SHA256: 9b7fdeab097fb0dbda5142325713e81276b1a2c581c69128c3c2b7c44806d23c

Llegados a este punto, el malware se encuentra descargado y ejecutado en el equipo de la víctima.

Ilustración 12: Carpetas creadas en la ruta C:\ del equipo de la víctima.

El archivo se encuentra ubicado en la ruta “C:\REALTECK\zufdcgipjjg.exe”, y corresponde con el ejecutable del troyano bancario Grandoreiro.

Ilustración 13: Ejecutable del malware extraído en el equipo de la víctima.

La muestra ha sido subida a VirusTotal y catalogada como troyano Grandoreiro por algunos de los antivirus existentes.

Ilustración 14: Muestra de Grandoreiro subida a VirusTotal durante el análisis.

El malware necesita persistencia en el equipo, de forma que el archivo sea ejecutado cada vez que el ordenador es iniciado. Para ello, el troyano crea una entrada de registro en “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”.

Ilustración 15: Entrada de registro creada por el malware en el equipo de la víctima.

De esta forma, el troyano quedará ejecutándose a la espera de que la víctima acceda a uno de los bancos registrados en el malware. Se han detectado las siguientes entidades bancarias en la muestra:

Ilustración 16: Entidades bancarias detectadas en la muestra de Grandoreiro.

Se ha identificado la creación de carpetas adicionales en “C:\Users\Usuario\AppData\Roaming\» donde el troyano almacena información temporal sobre la banca de la víctima o incluso realiza la descarga de módulos complementarios.

Ilustración 17: Carpeta creada por el malware en el equipo de la víctima.

Tal y como se ha mencionado en el apartado de “Características”, este troyano acostumbra a tener un tamaño mucho mayor que otros malware. Si bien esta muestra tiene un tamaño de 185MB, habitualmente varía entre 150MB y 350MB.

El malware utiliza su gran tamaño para dificultar la detección y análisis automático de los antivirus. Para conseguir dicho objetivo, el malware cuenta con imágenes “BMP” de gran tamaño en la sección de recursos del archivo PE.

Ilustración 18: Imágenes ubicadas en la sección de recursos del binario.

Dichas imágenes ocupan entre 100MB y 200MB respectivamente, siendo su único objetivo el de aumentar el tamaño del binario.

Alcance de la campaña

La primera infección detectada relacionada con la campaña de Mercadona tuvo lugar el día 6 de agosto de 2020 y, a fecha del análisis, sigue aumentando el número de infectados.

Si bien la muestra analizada en este artículo había registrado únicamente 17 víctimas, se han detectado muestras con un mayor número de registros.

El siguiente listado corresponde con el registro de los usuarios de otra de las muestras analizadas. En el momento del análisis contaba con 87 víctimas registradas.

Ilustración 19: Fichero dados.txt con información sobre las víctimas.
Ilustración 20: Fichero ler.php con información sobre las víctimas.

Dado que se han detectado más muestras similares y se encontraban inactivas, se puede deducir que el número total de víctimas supera ampliamente el centenar. Cabe recordar que, tal y como se ha visto durante el análisis, esta campaña afecta únicamente a usuarios españoles. 

Conclusiones

El troyano bancario Grandoreiro es un viejo conocido que todavía está presente en gran parte de los fraudes bancarios a clientes ocurridos en el país. Cada semana se registran nuevas campañas de distribución de este malware, habitualmente en forma de facturas falsas de empresas como las anteriormente detectadas sobre Endesa, Másmóvil, Naturgy, Iberdrola, etc. Se trata de un malware que, lejos de desaparecer, obtiene mayor notoriedad día tras día. Es por ello que es preciso seguir una serie de recomendaciones para no ser víctima de fraude.

Para evitar una posible infección siga los siguientes pasos:

  1. No descargue nunca contenido de sitios de dudosa legitimidad.
  2. Compruebe las extensiones de los archivos antes de ejecutarlos. Es fácil hacer pasar un archivo ejecutable por pdf.
  3. No entre en los enlaces de correos cuyo remitente sea desconocido. Incluso si recibe un correo de una empresa o banco conocido , trate de corroborar su legitimidad con el remitente previamente.
  4. No introduzca información bancaria en sitios de dudosa legitimidad.
  5. Sospeche de cualquier anomalía a la hora de acceder a la banca online. Estos troyanos realizan superposición de pestañas falsas que simulan ser legítimas del banco. Es común el uso de ventanas de instalación de módulos de seguridad o la solicitud de información bancaria no habitual
  6. En caso de duda, no instale nada sin realizar un análisis del archivo.

Y si ud. ya ha sido infectado:

  1. Desconecte inmediatamente el dispositivo de Internet.
  2. Apague inmediatamente el equipo.
  3. Póngase en contacto con su banco.

Indicadores de compromiso (IOCs):

Fichero VBS:

Nombre: MercadonafactonlineGLOPUVVXYaac.vbs

MD5: efe89d0e97096ce923703d00a849d790

SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b

Nombre: MercadonaFacturaDigital.Yehjoprswwxz – mod.vbs

MD5: 24e0d2015f662ea2f5b7c0e5710a1a3a

SHA256:  2ee2eeac5ebd87c3e1a8540a6be971cbde294d13ccff27c3dec5fd7029c840ae

Nombre: FacturaMercadonaelectronica.vbs

MD5: c639c3667fa907c76ac134aa812d7cac

SHA256: 21a636f7f5dcb5efcb8a5547f19e76fcae1cafa334811b967750a165b5bf5ef5

Descarga de ficheros VBS:

hxxps://www[.]segurodental[.]pro/app/tmp/mercadona/

hxxp://100[.]25[.]23[.]107/fact/

hxxp://sharebetting[.]tips/tmp/mercadona/

Descarga de imágenes ISO y adicionales:

hxxp://18[.]191[.]168[.]99/zufdcgipjjg[.]iso

hxxp://18[.]191[.]168[.]99/nnkokysdggit[.]iso

hxxp://18[.]191[.]168[.]99/aff[.]bak

hxxp://142[.]11[.]213[.]42:8081/aff[.]txt

hxxp://142[.]11[.]213[.]42:8081/nnkokysdggit[.]iso

hxxp://142[.]11[.]212[.]211:8081/ronivon[.]txt

hxxp://142[.]11[.]212[.]211:8081/nnkokysdggit[.]iso

Registro y visualización de infectados:

hxxp://sharebetting[.]tips/tmp/spain/index[.]php

hxxp://globlesolution[.]online/spain/index[.]php

hxxp://globlesolution[.]online/spain/dados[.]txt

hxxp://globlesolution[.]online/spain/ler[.]php

hxxp://sharebetting[.]tips/tmp/spain/dados[.]txt

hxxp://sharebetting[.]tips/tmp/spain/ler[.]php

Grandoreiros:

Nombre: zufdcgipjjg.exe

MD5: 3c5ffd0845214e4a7d7fc98fed618112

SHA256: 9b7fdeab097fb0dbda5142325713e81276b1a2c581c69128c3c2b7c44806d23c

Nombre: nnkokysdggit.exe

MD5: b3adac3f3d2ff5525b522ac1469b2bcbSHA256: 2acf0abe166cf420cdef13aee289d37cefaf2bdab45d5b7570e24ce311804101

Un post de Aitor Echavarri, Analista de Malware en BOTECH

Leave Comment