A pesar de la detención de importantes grupos a principios de 2024, Grandoreiro sigue siendo utilizado por sus socios en nuevas campañas. El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una nueva versión simplificada del troyano bancario, enfocada en México y dirigida a alrededor de 30 bancos.

Al ser una de las amenazas más activas a nivel mundial, Grandoreiro representa cerca del 5% de los ataques de troyanos bancarios de este año. México es uno de los países más atacados por las variantes de este malware, incluida la nueva versión simplificada, con 51 mil incidentes registrados.

Tras colaborar en una acción coordinada por INTERPOL, la cual ha llevado a las autoridades brasileñas a detener a los grupos detrás de una operación de Grandoreiro, Kaspersky descubrió que la base de código del grupo se ha dividido en versiones más ligeras y fragmentadas del troyano, para continuar con sus ataques. Un análisis reciente ha identificado una variante específica centrada principalmente en México, que se ha utilizado para atacar a aproximadamente 30 instituciones financieras. Es probable que los creadores tengan acceso al código fuente y estén lanzando nuevas campañas utilizando el malware heredado simplificado.

Todos los acontecimientos recientes subrayan la naturaleza evolutiva de la amenaza. Las versiones fragmentadas y más ligeras pueden representar una tendencia que podría extenderse más allá de México y otras regiones, incluso, más allá de América Latina. Sin embargo, creemos que sólo algunos afiliados de confianza tienen acceso al código fuente del malware para desarrollar dichas versiones simplificadas. Grandoreiro opera de forma diferente al modelo tradicional de ‘Malware-as-a-service’ (Malware como Servicio) al que estamos acostumbrados. No encontrarás anuncios en foros clandestinos vendiendo el paquete de Grandoreiro pues el acceso a él parece estar limitado”, explica Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Múltiples variantes de Grandoreiro, incluyendo la nueva versión ligera y el malware principal, representaron aproximadamente el 5% de los ataques globales de troyanos bancarios detectados por Kaspersky en 2024, lo que lo convierte en una de las amenazas más activas en todo el mundo. Kaspersky también ha analizado las muestras más recientes del Grandoreiro primario de 2024, y ha observado nuevas tácticas. Por ejemplo, registra la actividad del mouse de una computadora para imitar patrones reales de los usuarios, con el objetivo de eludir la detección de los sistemas de seguridad basados en aprendizaje automático que analizan el comportamiento. Al reproducir los movimientos naturales del mouse, el malware pretende engañar a las herramientas antifraude para que vean la actividad como legítima.

Además, Grandoreiro ha adoptado una técnica criptográfica conocida como Robo de Texto Cifrado (Ciphertext Stealing), que Kaspersky nunca había visto utilizada en malware. En este caso, su objetivo es cifrar las cadenas de código malicioso.

Grandoreiro tiene una estructura grande y compleja, lo que facilitaría la detección por parte de herramientas de seguridad o analistas si sus cadenas no estuvieran cifradas. Es probable que hayan introducido esta nueva técnica para complicar la detección y el análisis de sus ataques”, explica Fabio Assolini.

Los datos de Kaspersky indican que Grandoreiro lleva activo desde 2016. En 2024, la amenaza se ha dirigido a más de 1,700 instituciones financieras y 276 carteras de criptomonedas en 45 países y territorios, añadiendo por último a Asia y África a la lista de sus objetivos, lo que la convierte en una amenaza financiera verdaderamente global.

Con información de Kaspersky

Los cuatro tripulantes de la octava misión espacial comercial de la NASA y SpaceX partieron este miércoles rumbo a la Tierra desde la Estación Espacial Internacional (EEI) tras permanecer siete meses en ese laboratorio orbital.

La nave espacial se separó este miércoles de la EEI pasadas las 17:05 h tiempo del este de Estados Unidos y tiene programado amerizar el próximo viernes a las 3:29 h local en una de las múltiples zonas disponibles frente a la costa de Florida.

Los cuatro viajeros, los astronautas de la NASA Matthew Dominick, Michael Barratt y Jeanette Epps, y el cosmonauta de Roscosmos Alexander Grebenkin, estuvieron a bordo de la estación espacial desde marzo pasado.

Después de dos semanas de retrasos debido a las condiciones meteorológicas adversas, la cápsula Dragon se despegó de la EEI, mientras ambas naves espaciales volaban a 418 kilómetros (260 millas) sobre el Océano Pacífico.

Esta misión recibió el pasado 29 de septiembre el relevo, la Crew-9, que en esta ocasión llevó solo a dos viajeros, el astronauta de la NASA Nick Hague y el cosmonauta de la agencia rusa Roscosmos Aleksandr Gorbunov, para dejar puestos libres para el regreso de los dos astronautas de la Starliner de Boeing.

La Crew-9 traerá de vuelta a la Tierra en febrero próximo a Barry ‘Butch‘ Wilmore y Sunita ‘Suni‘ Williams, los dos astronautas ‘atrapados’ en la estación orbital de la primera misión tripulada de Boeing, la cual presentó fallos.

Wilmore y Williams iban a pasar poco más de una semana en la EEI, adonde llegaron en junio pasado; pero, tras problemas técnicos del aparato que no pudieron resolverse, la NASA decidió que se quedaran en la EEI hasta que regrese la Dragon en febrero de 2025.

Estos vuelos comerciales se iniciaron en 2020 y han permitido a Estados Unidos volver a enviar astronautas desde suelo estadounidense tras la cancelación en 2011 del programa de transbordadores espaciales.

Desde el último vuelo del transbordador Atlantis a la órbita terrestre en 2011, la NASA se había visto obligada a utilizar únicamente los sistemas de lanzamiento rusos como el Soyuz para poner en órbita a sus astronautas.

Con información de López-Dóriga Digital