La compañía de seguridad informática Eset advirtió recientemente sobre un falso correo electrónico en español que intenta hacer creer a las potenciales víctimas que se trata de una comunicación oficial de WhatsApp que invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería. El objetivo real de la comunicación es distribuir el virus troyano bancario denominado Grandoreiro, que roba credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco, entre otras funcionalidades.

En el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado ‘Open_Document_513069.html’. Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly. Según un análisis realizado en el laboratorio de Eset Latinoamérica del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza, el virus troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el ‘malware’.

Según un análisis detallado del virus Grandoreiro que publicó Eset, se trata de un troyano bancario que comparte muchas características con otras familias de troyanos muy activas en América Latina. Algunas de estas familias, se expandieron más allá de Latinoamérica y comenzaron a dirigir sus campañas a usuarios de España y de otros países de Europa.

En 2020, Grandoreiro tenía presencia principalmente en países como Brasil, España, México y Perú. Y a poco de decretarse la pandemia se detectaron correos en los que utilizó la temática del COVID-19 para engañar a los usuarios, así como campañas dirigidas a España suplantando la identidad de la Agencia Tributaria.

Al igual que los otros troyanos bancarios latinoamericanos, este cuenta con funcionalidades de ‘backdoor’ que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registrar las pulsaciones de teclado, simular acciones de ‘mouse’ y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo, por nombrar algunas de sus capacidades.

Lee También

Desde el sitio de la Oficina de Seguridad del Internauta no descartan que existan otros correos en circulación con asuntos diferentes. De hecho, en marzo de este año estuvo circulando en España una campaña de ‘phishing’ de similares características en la cual se suplantaba la identidad de WhatsApp utilizando la misma excusa, y también hay registros de una campaña similar en 2020.

LO ÚLTIMO