Cuando ya parecía que se había acabado con él, los últimos informes confirman el resurgimiento del troyano Grandoreiro en más de 60 países, incluyendo España, donde el impacto del malware ya se siente en el sector financiero y entre los usuarios privados. Este malware bancario, conocido por su capacidad para robar datos bancarios de forma sigilosa, había experimentado un declive temporal tras una operación policial coordinada a nivel internacional a principios de este año. Sin embargo, recientes informes del departamento X-Force de IBM de marzo de 2024, indica que Grandoreiro no solo ha vuelto, sino que lo ha hecho de forma renovada y una presencia global más amplia.
El modus operandi de Grandoreiro es complejo y altamente técnico, lo que dificulta su detección y eliminación. Operando bajo el modelo de Malware-as-a-Service (MaaS), permite incluso a los delincuentes sin habilidades técnicas avanzadas desplegar ataques de malware. Esta modalidad de servicio facilita la propagación del troyano a través de campañas de phishing, donde los correos electrónicos fraudulentos juegan un papel crucial, imitando a empresas legítimas para engañar a los usuarios y hacerles instalar el malware.
Una vez instalado, Grandoreiro puede realizar una variedad de actividades maliciosas, desde el control remoto de aplicaciones, pasando por la manipulación del navegador y la carga y descarga de archivos, descodificador personalizado, desactiva alertas de seguridad en Microsoft Outlook y crea de claves de ejecución de registro. Este troyano no solo se limita a robar datos bancarios; también tiene la capacidad de ejecutar comandos arbitrarios en los dispositivos infectados, ampliando su alcance a una gama más amplia de actividades ilícitas.
Desafíos y estrategias para minimizar su impacto
La situación actual plantea un gran desafío para las autoridades de seguridad y los profesionales de la ciberseguridad, que deben adaptarse rápidamente a las tácticas en constante evolución de los ciberdelincuentes.
Es fundamental que las actualizaciones de seguridad se implementen de manera oportuna y que se fomenten las prácticas de educación y concienciación entre los usuarios para mitigar el riesgo de infecciones.
Además, la cooperación internacional y el intercambio de información son fundamentales para combatir amenazas como Grandoreiro, que no conocen fronteras.
La Evolución de Grandoreiro
El troyano Grandoreiro es un tipo de malware que ha afectado principalmente a usuarios en América Latina y España, destacándose por sus capacidades de robo de credenciales bancarias y otras funciones maliciosas. A continuación, te presento una breve cronología de los eventos más significativos relacionados con este troyano:
- 2017: Comienza a operar el troyano Grandoreiro.
- Grandoreiro comienza a operar activamente, centrando sus ataques principalmente en Brasil, aunque con incidencias también en otros países hispanohablantes.
- 2018-2019: Expansión y evolución.
- El troyano continúa su desarrollo y perfeccionamiento, expandiendo su alcance geográfico y técnicas de ataque. Empieza a utilizar técnicas de evasión más sofisticadas y a dirigirse a un rango más amplio de objetivos financieros.
- 2020: Aumento de actividad y detección.
- Los investigadores de seguridad notan un aumento significativo en la actividad de Grandoreiro, con campañas de phishing y ataques dirigidos que buscan maximizar el robo de datos financieros.
- Enero 2024: Operación policial conjunta.
- Una operación conjunta involucrando autoridades de Brasil, España, Interpol y la empresa de ciberseguridad ESET logra interrumpir temporalmente las operaciones de Grandoreiro. Se desmantelan algunos de sus servidores y se detienen a varios implicados.
- Marzo 2024: Resurgimiento y globalización.
- A pesar de los esfuerzos por desmantelarlo, Grandoreiro resurge con nuevas capacidades y comienza a extender sus operaciones a más de 60 países, incluyendo naciones de habla inglesa. Se adapta y evoluciona para incluir nuevas técnicas maliciosas como el malware-as-a-service (MaaS).