Introducción
En el último año, los troyanos bancarios procedentes de América Latina han ocupado gran parte de los titulares en los países de habla hispana. Siendo Brasil el país residente de gran parte de estos autores de malware, durante mucho tiempo han limitado sus ataques a clientes de bancos locales. Sin embargo, ávidos de obtener un mayor monto económico, las operaciones y ataques perpetrados por estos criminales han sido expandidos al extranjero, afectando actualmente a bancos de diferentes países de habla hispana.
Cada vez más, los autores de estos ataques están poniendo el ojo en España, hecho que queda reflejado con el significativo aumento de campañas de distribución de estos malware en los últimos meses. Entre ellos, cabe destacar la presencia del troyano bancario Grandoreiro, troyano implicado en un gran número de fraudes a clientes en el país y que en la actualidad afecta a usuarios de países como Brasil, México, Perú, España y recientemente Portugal.
Durante esta semana, el equipo de BOTECHFPI ha detectado una nueva campaña de distribución de este malware enfocada en clientes de la empresa Mercadona. Como viene siendo habitual en otras campañas observadas hasta el momento, el malware está siendo distribuido a través de correos de spam como una falsa factura de la empresa.
Características
Las características más notables de este malware desarrollado en Delphi son el gran tamaño de sus binarios y la rápida actualización de su desarrollo, lo que dificulta su detección y análisis por parte de los sistemas de detección automáticos como los antivirus, algo que recuerda al malware estudiado hace 15 años.
La peligrosidad de este troyano reside en la facilidad con la que lleva a cabo el fraude a clientes de banca. De forma similar a otros troyanos bancarios latinoamericanos, hace uso de la técnica de superposición de ventanas falsas con la finalidad de engañar al usuario.
Cuando el cliente accede a una de las entidades bancarias registradas en el malware, el atacante es notificado y puede tomar el control remoto del equipo infectado. De la misma manera, el delincuente puede mostrar ventanas falsas superponiéndolas a las originales y de esta forma hacer creer a la víctima que se trata de la página web legítima del banco.
El troyano dispone de una gran variedad de ventanas falsas que pueden ser utilizadas para solicitar en tiempo real cualquier dato necesario para llevar a cabo la transferencia fraudulenta. Durante el proceso de análisis de este malware, se han detectado ventanas que solicitan el número de la tarjeta de crédito, número de teléfono, CVV, fecha de caducidad o incluso los códigos de un solo uso del doble factor de autenticación o los caracteres asociados a la firma electrónica.
Adicionalmente, el troyano cuenta con la funcionalidad para bloquear y reiniciar el equipo, registrar pulsaciones del teclado e interaccionar con el navegador web.
Análisis técnico
Como se ha comentado anteriormente, el troyano bancario Grandoreiro está siendo distribuido a través de correos electrónicos de spam suplantando a la empresa Mercadona. Dicho correo contiene una redirección a un sitio web fraudulento desde el que se descarga el archivo comprimido “file.wnql-pcvl-tumz-.zip”.
Una vez descomprimido, se observa un fichero VBS que simula ser una factura de Mercadona, “MercadonafactonlineGLOPUVVXYaac.vbs”.
El fichero citado es el encargado de iniciar el proceso de descarga e infección en el equipo de la víctima. El siguiente esquema muestra las diferentes fases que conforman el proceso de infección:
Para un mayor entendimiento del proceso de infección, se detallarán cada una de las fases implicadas en el mismo.
Primera fase de la infección (fichero .vbs):
Nombre: MercadonafactonlineGLOPUVVXYaac.vbs
MD5: efe89d0e97096ce923703d00a849d790
SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b
En primer lugar, el fichero realiza una petición para conocer la geolocalización de su víctima. El proceso de infección seguirá adelante únicamente si el país corresponde con España, lo que implica que se trata de una campaña exclusivamente dirigida a usuarios españoles.
Para aquellos usuarios españoles, realizará una petición adicional al fichero aff.bak y de esta forma seguirá con el proceso de infección.
Segunda fase de la infección (fichero .bak):
Nombre: aff.bak
MD5: c3f19f13c78c0bd1433e7ef8f4231951
SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b
Este fichero secundario será el encargado de llevar a cabo la descarga y ejecución del malware en el equipo de la víctima.
El fichero realiza la descarga de un módulo adicional de 7MB llamado “zufdcgipjjg.iso”. No es la primera vez que el malware hace uso de imágenes ISO; estos contenedores disponen de todos los archivos necesarios para llevar a cabo la infección en el equipo.
El servidor cuenta con dos imágenes ISO y ambas han sido utilizadas durante esta campaña.
En el presente caso, se han detectado 45 descargas del malware y 36 descargas del fichero utilizado para llevar a cabo la infección.
Una vez descargada la imagen, comprueba la existencia de las carpetas “C:\REALTECK” y “C:\binghuin” en el equipo y, en caso negativo, las crea. Posteriormente, extrae los ficheros temporales “CF7BB75B.zip» y “C2lKKJ.zip” que, tras ser descomprimidos, dan lugar al archivo ejecutable “C:\REALTEC\zufdcgipjjg.exe”.
Adicionalmente, el fichero realiza una petición a “index.php” para almacenar información de la ip, ciudad, comunidad autónoma y país en el fichero “dados.txt”. Cabe destacar que esta información es almacenada únicamente si el país es España.
Durante el momento del análisis, el fichero “hxxp://globlesolution[.]online/spain/dados[.]txt” contenía 17 registros.
El fichero “hxxp://globlesolution[.]online/spain/ler[.]php” permite una mejor visualización de los datos de las víctimas.
Fase final de la infección (Grandoreiro):
Nombre: zufdcgipjjg.exe
MD5: 3c5ffd0845214e4a7d7fc98fed618112
SHA256: 9b7fdeab097fb0dbda5142325713e81276b1a2c581c69128c3c2b7c44806d23c
Llegados a este punto, el malware se encuentra descargado y ejecutado en el equipo de la víctima.
El archivo se encuentra ubicado en la ruta “C:\REALTECK\zufdcgipjjg.exe”, y corresponde con el ejecutable del troyano bancario Grandoreiro.
La muestra ha sido subida a VirusTotal y catalogada como troyano Grandoreiro por algunos de los antivirus existentes.
El malware necesita persistencia en el equipo, de forma que el archivo sea ejecutado cada vez que el ordenador es iniciado. Para ello, el troyano crea una entrada de registro en “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”.
De esta forma, el troyano quedará ejecutándose a la espera de que la víctima acceda a uno de los bancos registrados en el malware. Se han detectado las siguientes entidades bancarias en la muestra:
Se ha identificado la creación de carpetas adicionales en “C:\Users\Usuario\AppData\Roaming\» donde el troyano almacena información temporal sobre la banca de la víctima o incluso realiza la descarga de módulos complementarios.
Tal y como se ha mencionado en el apartado de “Características”, este troyano acostumbra a tener un tamaño mucho mayor que otros malware. Si bien esta muestra tiene un tamaño de 185MB, habitualmente varía entre 150MB y 350MB.
El malware utiliza su gran tamaño para dificultar la detección y análisis automático de los antivirus. Para conseguir dicho objetivo, el malware cuenta con imágenes “BMP” de gran tamaño en la sección de recursos del archivo PE.
Dichas imágenes ocupan entre 100MB y 200MB respectivamente, siendo su único objetivo el de aumentar el tamaño del binario.
Alcance de la campaña
La primera infección detectada relacionada con la campaña de Mercadona tuvo lugar el día 6 de agosto de 2020 y, a fecha del análisis, sigue aumentando el número de infectados.
Si bien la muestra analizada en este artículo había registrado únicamente 17 víctimas, se han detectado muestras con un mayor número de registros.
El siguiente listado corresponde con el registro de los usuarios de otra de las muestras analizadas. En el momento del análisis contaba con 87 víctimas registradas.
Dado que se han detectado más muestras similares y se encontraban inactivas, se puede deducir que el número total de víctimas supera ampliamente el centenar. Cabe recordar que, tal y como se ha visto durante el análisis, esta campaña afecta únicamente a usuarios españoles.
Conclusiones
El troyano bancario Grandoreiro es un viejo conocido que todavía está presente en gran parte de los fraudes bancarios a clientes ocurridos en el país. Cada semana se registran nuevas campañas de distribución de este malware, habitualmente en forma de facturas falsas de empresas como las anteriormente detectadas sobre Endesa, Másmóvil, Naturgy, Iberdrola, etc. Se trata de un malware que, lejos de desaparecer, obtiene mayor notoriedad día tras día. Es por ello que es preciso seguir una serie de recomendaciones para no ser víctima de fraude.
Para evitar una posible infección siga los siguientes pasos:
- No descargue nunca contenido de sitios de dudosa legitimidad.
- Compruebe las extensiones de los archivos antes de ejecutarlos. Es fácil hacer pasar un archivo ejecutable por pdf.
- No entre en los enlaces de correos cuyo remitente sea desconocido. Incluso si recibe un correo de una empresa o banco conocido , trate de corroborar su legitimidad con el remitente previamente.
- No introduzca información bancaria en sitios de dudosa legitimidad.
- Sospeche de cualquier anomalía a la hora de acceder a la banca online. Estos troyanos realizan superposición de pestañas falsas que simulan ser legítimas del banco. Es común el uso de ventanas de instalación de módulos de seguridad o la solicitud de información bancaria no habitual
- En caso de duda, no instale nada sin realizar un análisis del archivo.
Y si ud. ya ha sido infectado:
- Desconecte inmediatamente el dispositivo de Internet.
- Apague inmediatamente el equipo.
- Póngase en contacto con su banco.
Indicadores de compromiso (IOCs):
Fichero VBS:
Nombre: MercadonafactonlineGLOPUVVXYaac.vbs
MD5: efe89d0e97096ce923703d00a849d790
SHA256: 4d6287f29d0a1344baed9e3a416d0862e71e04f16580eef637ff74e6c256936b
Nombre: MercadonaFacturaDigital.Yehjoprswwxz – mod.vbs
MD5: 24e0d2015f662ea2f5b7c0e5710a1a3a
SHA256: 2ee2eeac5ebd87c3e1a8540a6be971cbde294d13ccff27c3dec5fd7029c840ae
Nombre: FacturaMercadonaelectronica.vbs
MD5: c639c3667fa907c76ac134aa812d7cac
SHA256: 21a636f7f5dcb5efcb8a5547f19e76fcae1cafa334811b967750a165b5bf5ef5
Descarga de ficheros VBS:
hxxps://www[.]segurodental[.]pro/app/tmp/mercadona/
hxxp://100[.]25[.]23[.]107/fact/
hxxp://sharebetting[.]tips/tmp/mercadona/
Descarga de imágenes ISO y adicionales:
hxxp://18[.]191[.]168[.]99/zufdcgipjjg[.]iso
hxxp://18[.]191[.]168[.]99/nnkokysdggit[.]iso
hxxp://18[.]191[.]168[.]99/aff[.]bak
hxxp://142[.]11[.]213[.]42:8081/aff[.]txt
hxxp://142[.]11[.]213[.]42:8081/nnkokysdggit[.]iso
hxxp://142[.]11[.]212[.]211:8081/ronivon[.]txt
hxxp://142[.]11[.]212[.]211:8081/nnkokysdggit[.]iso
Registro y visualización de infectados:
hxxp://sharebetting[.]tips/tmp/spain/index[.]php
hxxp://globlesolution[.]online/spain/index[.]php
hxxp://globlesolution[.]online/spain/dados[.]txt
hxxp://globlesolution[.]online/spain/ler[.]php
hxxp://sharebetting[.]tips/tmp/spain/dados[.]txt
hxxp://sharebetting[.]tips/tmp/spain/ler[.]php
Grandoreiros:
Nombre: zufdcgipjjg.exe
MD5: 3c5ffd0845214e4a7d7fc98fed618112
SHA256: 9b7fdeab097fb0dbda5142325713e81276b1a2c581c69128c3c2b7c44806d23c
Nombre: nnkokysdggit.exe
MD5: b3adac3f3d2ff5525b522ac1469b2bcbSHA256: 2acf0abe166cf420cdef13aee289d37cefaf2bdab45d5b7570e24ce311804101
Un post de Aitor Echavarri, Analista de Malware en BOTECH
