México se encuentra nuevamente en la mira en el ámbito de la ciberseguridad, debido a una nueva variante del troyano Grandoreiro, reportada por el equipo de Investigación y Análisis Global de Kaspersky (GReAT).
Kaspersky informa que esta nueva versión fue personalizada para atacar a alrededor de 30 instituciones financieras en el país.
El troyano bancario Grandoreiro no es desconocido para México. En lo que va del año, el país ha registrado más de 51,000 ataques relacionados con este malware. Grandoreiro representa alrededor del 5% de los ataques de troyanos bancarios detectados en todo el mundo durante 2024.
Fabio Assolini, director del equipo GReAT para América Latina en Kaspersky, presentó esta información en la Security Analyst Summit 2024 donde explicó que esta nueva versión del troyano está diseñada para que las medidas de seguridad tradicionales lo detecten con menos facilidad:
“Grandoreiro tiene una estructura grande y compleja, lo que facilitaría su detección por parte de herramientas de seguridad o analistas si sus cadenas no estuvieran cifradas. Es probable que hayan introducido esta nueva técnica para complicar la detección y el análisis de sus ataques”
Grandoreiro, según el boletín de Kaspersky Securelist, es un troyano bancario activo desde 2016 que se distribuye como un MaaS (Malware-as-a-Service) de forma privada, a diferencia de otros troyanos que se comercializan en foros clandestinos. Solo un grupo selecto de socios de confianza tiene acceso a sus versiones más recientes y personalizadas.
La nueva variante descubierta en México es una versión simplificada del troyano, pero no por ello menos peligrosa. Al igual que en versiones anteriores, utiliza diversas técnicas para evadir los sistemas de seguridad. Una de ellas es el registro de la actividad del mouse en los dispositivos infectados, simulando movimientos reales para evitar la detección por herramientas de aprendizaje automático. Además, ha adoptado la técnica criptográfica de robo de texto cifrado (Ciphertext Stealing), lo que dificulta aún más el análisis del malware por parte de los especialistas en seguridad.
Se reportó anteriormente que, en colaboración con INTERPOL y las autoridades brasileñas, Kaspersky trabajó para detener a los operadores detrás de este troyano ylogró la captura de varios de sus principales responsables a principios de 2024. Sin embargo, a pesar de estos avances, Grandoreiro sigue evolucionando. Los cibercriminales han encontrado formas de fragmentar el código en versiones más ligeras, lo que les permite continuar atacando a nuevas víctimas, especialmente en México.
Lo preocupante es que, tras los arrestos de los principales operadores, los ciberataques no solo persisten, sino que también se adaptan rápidamente a las nuevas circunstancias.
“Las versiones fragmentadas y más ligeras podrían expandirse más allá de México y América Latina en los próximos meses”, advirtió Assolini.
El troyano tiene como objetivo robar las credenciales de más de 1,700 instituciones financieras en 45 países y territorios, informó Securelist. Los bancos afectados están ubicados en Argelia, Angola, Argentina, Australia, Brasil, Canadá, Chile, Colombia, España, Estados Unidos, entre otros.
Cabe mencionar que la lista de instituciones financieras cambia de una versión a otra, pero los países más afectados, según la telemetría de Kaspersky, son México, Brasil, España y Argentina.
De acuerdo con Kaspersky, existen algunas medidas que se pueden tomar para evitar, en la medida de lo posible, la entrada de troyanos en tu sistema:
- Mantén tu software actualizado: Los hackers explotan vulnerabilidades en software desactualizado. Asegúrate de mantener el sistema operativo y los programas al día.
- No abras archivos sospechosos: Evita abrir correos electrónicos o programas de fuentes desconocidas.
- Utiliza un firewall: Protege tu conexión bloqueando el tráfico malicioso.
- Instala un antivirus confiable: Un buen software de seguridad es esencial para detectar y eliminar troyanos antes de que se instalen en tu equipo.
Cabe resaltar que Grandoreiro es un virus en constante evolución, por lo que estas medidas son preventivas. Kaspersky sigue colaborando con INTERPOL y otras agencias para desarrollar las herramientas necesarias para combatir esta amenaza a los usuarios de banca en línea.