A pesar de la detención de importantes grupos responsables a principios de este año, el troyano bancario Grandoreiro sigue siendo una amenaza activa y utilizada por sus socios en nuevas campañas. El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una versión simplificada de este malware, específicamente enfocada en México y dirigida a alrededor de 30 bancos.
Grandoreiro, una de las amenazas más activas a nivel mundial, representa cerca del 5% de los ataques de troyanos bancarios de este año. México es uno de los países más afectados, con 51 mil incidentes registrados relacionados con esta nueva versión simplificada del malware.
En una acción coordinada por INTERPOL que llevó a la detención de los grupos detrás de Grandoreiro, Kaspersky descubrió que el código del troyano se ha dividido en versiones más ligeras y fragmentadas para continuar con los ataques. Un análisis reciente ha identificado una variante centrada en México, que ha sido utilizada para atacar a aproximadamente 30 instituciones financieras. Es probable que los creadores del malware tengan acceso al código fuente y estén lanzando nuevas campañas utilizando estas versiones simplificadas.
Las múltiples variantes de Grandoreiro, incluyendo la nueva versión ligera y el malware principal, han representado aproximadamente el 5% de los ataques globales de troyanos bancarios detectados por Kaspersky en 2024, consolidándose como una de las amenazas más activas a nivel mundial.
Kaspersky ha analizado las muestras más recientes del Grandoreiro primario de 2024, observando nuevas tácticas como el registro de la actividad del mouse para imitar patrones reales de los usuarios, con el objetivo de eludir la detección de sistemas de seguridad basados en aprendizaje automático. Al reproducir movimientos naturales del mouse, el malware pretende engañar a las herramientas antifraude para que vean la actividad como legítima.
Además, Grandoreiro ha adoptado una técnica criptográfica conocida como Robo de Texto Cifrado (Ciphertext Stealing), inédita en el uso de malware según Kaspersky. Esta técnica tiene como objetivo cifrar las cadenas de código malicioso, añadiendo una capa adicional de complejidad para su detección.
Los datos de Kaspersky indican que Grandoreiro ha estado activo desde 2016. En 2024, la amenaza se ha dirigido a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios, extendiendo su alcance a Asia y África, lo que la convierte en una amenaza financiera verdaderamente global.
Seguiremos informando.