Fecha de publicación: Mar, 02/07/2024 - 10:02

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha detectado una campaña agresiva de correos electrónicos fraudulentos que contienen archivos adjuntos maliciosos. El malware identificado es una variante de Grandoreiro el cual es un troyano bancario que ha estado activo desde 2017. Se distribuye principalmente a través de correos de phishing con víctimas de diferentes países.

  • Las variantes del malware pueden manipular ventanas, registrar pulsaciones de teclado, simular acciones del mouse, obtener URLs del navegador.
  • Al ejecutarse el archivo .exe, este puede recopilar información, robando credenciales almacenadas en Google Chrome y Microsoft Outlook.

 

Recursos afectados

Cualquier persona que haya recibido el correo electrónico fraudulento, que haya hecho clic en el enlace, descargar y ejecución del archivo malicioso.

     

    Solución

    Si se sospecha de haber sido víctima de estos correos fraudulentos, debemos realizar las siguientes acciones:

    • Escanear el dispositivo con un antivirus actualizado para eliminar cualquier posible infección.
    • Eliminar cualquier archivo que hayamos descargado del correo.
    • Cambiar las contraseñas de las cuentas a las que hayamos accedido mientras hemos tenido instalado el malware, ya que este troyano es capaz de capturarlas y enviárselas al atacante.
    • Para más seguridad se recomienda activar la doble verificación en todas aquellas cuentas que lo permitan. De esta forma, el atacante no podrá iniciar sesión, aunque tenga las credenciales.
    • Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta, en caso necesario. Además, la entidad debe ser informada para que denuncie el incidente y así no se den más víctimas, ya que Grandoreiro tiene la capacidad de desplegar ventanas emergentes falsas que suplantan la identidad del banco.
    • Y, finalmente, recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.

    Indicadores de compromiso

    TIPO VALOR
    MD5 48ed7a5c4bbef518a6c8aa12dd00c596
    SHA-1 589965a7c8f721a956d19c026c84bcdb4a5e516d
    SHA-256 06750765aa6a5af4b5a66c423d244a77dc5ff08efba85fe5f0297aed41ced13e
    Vhash 6460be9a9a3fee58481d21f8b9b59abc
    Dominio https[:]//83[.]57[.]205[.]92[.]host[.]secureserver[.]net[/]
    Correo contacto[@]funcionpublica[.]com

     

    Recomendaciones preventivas

    • Verificar que el correo electrónico recibido coincide con la que esperas antes de abrir y ejecutar el archivo.
    • Si no se tiene conocimiento del remitente, no abrir el correo electrónico ni hacer clic en ningún enlace o archivo adjunto.
    • Comprobar la ortografía y la gramática. Los correos electrónicos maliciosos a menudo contienen errores ortográficos y gramaticales.
    • No hacer clic en enlaces a menos que estés seguro de que son seguros. Pasa el cursor sobre los enlaces para ver la dirección URL real a la que te dirigirán.
    • Verificar conexiones salientes hacia las direcciones IP indicadas en los indicadores de compromiso.
    • Si hubiera actividad del malware, cambiar las credenciales de la cuenta comprometida, evitar guardar las credenciales en el navegador y realizar un análisis de malware en los equipos usados por la cuenta.

     

    Muestras de adjuntos de correos analizados:

    CORREO 1. ULTIMO AVISO PRE JUDICIAL

    C1

    CORREO 2. FACTURA ADEUDADA

    C2

    CORREO 3. CONVOCATORIA A AUDIENCIA VIRTUAL

    C3

    Referencias de análisis