La empresa de soluciones de seguridad ESET recientemente ha advertido de la actividad de un troyano bancario brasileños, denominado Grandoreiro, puede que te acuerdes de este ya que tuvo hace un tiempo su momento en e cual usaba email con el asunto 'Factura pendiente' y una URL de descarga para engañar a las victimas que fueran lo suficientemente descuidadas.
Este ahora, se trata de disfrazar de WhatsApp y te invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería pero... El objetivo real de la comunicación es distribuir el troyano bancario Grandoreiro, que roba credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco, entre otras funcionalidades.
En el correo que suplanta la identidad de WhatsApp, el mensaje incluye un archivo adjunto nombrado “Open_Document_513069.html”. Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly. Según un análisis realizado en el laboratorio de ESET Latinoamérica del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip. Ese archivo comprimido contiene un instalador MSI que descarga la amenaza, el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo haya sido infectado con el malware por lo que tus credenciales bancarias podrían estar en peligro.
Este troyano cuenta con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registras las pulsaciones de teclado (keylogging), simular acciones de mouse y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo, por nombrar algunas de sus capacidades por lo que seria interesante ser precavido con lo que abrimos tanto e nuestro correo como en WhatsApp.
